Главная страница » IOC
0
4 часа
IOC

Lazarus APT: Операция SyncHole

security

Группа Lazarus совершила новую атакующую кампанию, получившую название "Операция SyncHole", направленную на южнокорейские организации. Кампания использовала стратегию "водопой" и эксплуатировала уязвимости в южнокорейском программном обеспечении.

Описание

По меньшей мере шесть организаций, в основном из сферы программного обеспечения, ИТ, финансов и производства полупроводников, были взломаны. Изначально была обнаружена уязвимость в бэкдоре ThreatNeedle, разработанном группой Lazarus. Вредоносная программа работала как подпроцесс Cross EX, что привело к компрометации дополнительных пяти организаций.

Атакующие использовали уязвимости в программном обеспечении Cross EX и Innorix Agent для доставки и установки вредоносного ПО. Возможно, группа Lazarus повышала свои привилегии и использовала уязвимости для выполнения атак. При этом, вредоносная программа Cross EX работала вместе с защитным ПО, которое используют южнокорейские интернет-банки и правительственные организации. Цепочки выполнения и поведение вредоносного ПО были идентичны во всех целевых организациях.

В одной из ранних атак группа Lazarus также использовала уязвимость в программном обеспечении Innorix Agent, которая позволила им установить дополнительное вредоносное ПО на зараженные хосты. Была обнаружена и сообщена нулевая уязвимость дней в Innorix Agent, которая позволяла произвольно загружать файлы. Проблема была исправлена после уведомления производителя и Корейского агентства по интернету и безопасности.

Группа Lazarus использует атаки на южнокорейские организации через уязвимости в программном обеспечении, разработанном в Южной Корее. Это стратегическая часть их кампании, и подобные атаки были обнаружены и ранее. "Операция SyncHole" является последней волной атак группы Lazarus на южнокорейские организации, и были приняты оперативные меры для защиты компаний и обновления программного обеспечения.

Индикаторы компрометации

Содержание
  1. Domains
  2. URLs
  3. MD5
  4. SHA1
  5. SHA256

Domains

  • www.smartmanagerex.com

URLs

  • http://bluekostec.com/eng/community/write.asp
  • http://dream.bluit.gethompy.com/mobile/skin/board/gallery/index.skin.php
  • http://www.shcpump.com/admin/form/skin/formBasic/style.php
  • https://builsf.com/inc/left.php
  • https://htns.com/eng/skin/member/basic/skin.php
  • https://kadsm.org/skin/board/basic/write_comment_skin.php
  • https://thek-portal.com/eng/career/index.asp
  • https://www.rsdf.kr/wp-content/uploads/2024/01/index.php

MD5

  • 2d47ef0089010d9b699cd1bbbc66f10a
  • dc0e17879d66ea9409cdf679bfea388c
  • f1bcb4c5aa35220757d09fc5feea193b

SHA1

  • 404389b909159626c39a5cd503faba09188d2a54
  • 862f74e96a594f465683736189ad80de268fe1aa
  • e9d75404b1f8440e72808deb1de3ae01a5891b65

SHA256

  • 23ac99fb8de813172bb641baefff59fd8b84f1b39b362d7fd11736b5667bee56
  • 922a2ffdbfbbc3998ff38111d20c6ed88bba0e09de7f0f66a28b06c0ee51f69c
  • 94868d8db5a22df0b841d282d5d408d00179224ec7031386fbd80f0473f486b3
Комментарии: 0
Похожие записи
0
4 часа
IOC

Российская инфраструктура играет важную роль в киберпреступных операциях Северной Кореи

security
Компания Trend Research обнаружила, что некоторые киберпреступные операции, связанные с Северной Кореей, происходят из пяти российских IP-адресов. Эти IP-адреса скрываются с использованием анонимизационной
0
1 день
IOC

Billbug: Кампания вторжения в Юго-Восточную Азию продолжается

security
Шпионская группа, известная как Billbug или Lotus Blossom, осуществила кампанию вторжений во множество организаций в Юго-Восточной Азии. Среди целей были правительственные и коммерческие организации, включая