Главная страница » IOC
0
9 месяцев
IOC

Lifting Zmiy APT IOCs

security

Solar 4RAYS рассказывается о серии атак на российские государственные и частные организации, совершенных группой, известной как Lifting Zmiy. Несмотря на схожесть целей и происхождения с другой группой под названием Shedding Zmiy, Lifting Zmiy отличается использованием инструментов с открытым исходным кодом и обширными знаниями систем Linux.

Lifting Zmiy

Группа также использовала уникальную инфраструктуру, включающую взлом программируемых логических контроллеров (PLC), используемых в системах SCADA, которые управляют лифтовым оборудованием. Lifting Zmiy встраивала код управления для своего VPO (тип вредоносного ПО) в эти ПЛК, чтобы поразить своих жертв.

Solar 4RAYS описали инцидент, произошедший в декабре 2023 года, когда команда Solar 4RAYS была вызвана для расследования атаки на компанию, выступающую в качестве подрядчика для российских государственных учреждений. В ходе расследования было обнаружено использование злоумышленниками открытого программного обеспечения Reverse SSH на этапе постэксплойта. Анализ образца привел к идентификации управляющего сервера, что в дальнейшем помогло обнаружить адреса других командно-контрольных серверов с помощью сервисов интернет-сканирования. Отслеживая сетевые индикаторы, команда смогла выявить другие зараженные организации. В ходе этих расследований было обнаружено больше образцов вредоносного ПО VPO и признаки того, что злоумышленники используют инфраструктуру провайдера Starlink, предоставленную компанией SpaceX.

Indicators of Compromise

IPv4

  • 104.255.66.139
  • 104.255.68.20
  • 104.255.68.70
  • 108.181.165.94
  • 135.125.107.221
  • 138.199.53.226
  • 138.199.53.231
  • 145.224.121.64
  • 145.224.123.25
  • 145.224.123.55
  • 146.70.161.163
  • 154.47.19.194
  • 156.146.50.1
  • 156.146.55.226
  • 158.160.5.218
  • 165.231.178.25
  • 176.107.13.143
  • 176.120.67.40
  • 176.192.114.82
  • 176.192.20.118
  • 176.192.49.226
  • 176.192.57.122
  • 176.96.226.227
  • 176.96.226.243
  • 176.96.226.245
  • 178.173.26.69
  • 178.213.207.9
  • 178.213.207.91
  • 178.22.51.74
  • 179.60.149.42
  • 179.60.149.78
  • 185.183.33.220
  • 188.120.228.112
  • 188.35.20.137
  • 192.145.44.201
  • 194.190.152.129
  • 194.190.152.81
  • 195.14.123.51
  • 195.158.232.2
  • 206.119.171.140
  • 209.198.130.120
  • 213.171.212.212
  • 213.87.14.102
  • 216.131.109.143
  • 45.153.231.21
  • 45.78.6.136
  • 45.78.7.135
  • 45.78.7.88
  • 46.160.189.123
  • 46.160.189.124
  • 5.8.16.170
  • 5.8.16.236
  • 62.112.9.165
  • 75.119.130.76
  • 79.111.117.174
  • 79.111.233.34
  • 79.120.38.38
  • 79.120.62.218
  • 82.118.29.80
  • 84.252.114.1
  • 85.132.252.35
  • 85.203.39.227
  • 87.249.133.98
  • 89.22.156.31
  • 89.39.107.200
  • 91.90.123.179
  • 92.63.100.23
  • 94.137.92.1
  • 98.159.226.65
  • 98.159.226.72
  • 98.159.226.73
  • 98.159.226.78

Domains

  • localzilla.fun
  • sensor.fun
  • urler.site

MD5

  • 0abcc1d8d85c160a8e6b714045d028ca
  • 0b4dd8e23fecb00f6d718db1c937be0d
  • 1c2c53c430f54f59045c63c02fe774fd
  • 41b99b0770f01afbd80481fb6f811bcc
  • 723dfe3dc3e74d16809700b5ece2b28a
  • 728e9466e1c57fcba49d7d14a95ab851
  • 86f49b35cab2b9ccf7fa306a3067dbde
  • 9764cf6862afdb88d24dd305d1226d73
  • bf0aa35ce8ce1ef1155607e57e0227c3
  • bfce45ed17f9b778a7e2b1f4832c0ea5
  • e68a4c4969eb6a3bd14d68a2095ea212
  • e930f5b02e5d20a6841ab86893c3dd96

SHA1

  • 13199beae514d13cf50365678a2a015166912725
  • 15f892ce1ac9d483e4347521a5754908d1518287
  • 223d99f7f0c90d8b4eeace2ac59a71b8a1f410a6
  • 3949004dbe27de39b22bd83d4d9ffdfa094ec54e
  • 3ce493ffadd427645417913c3fc4a48546a9a05c
  • 5419d3907fbe5e08c8e92bfb9e7d13598624c37e
  • 58ee2fb1672b3af2db7997bb91cf3ab138d801e1
  • 7fc45ff66f59dea79f107b472e9dae3b04725502
  • b4916f2b61a5a71e01c64061420844f33633455a
  • d9fab70cb02ea5437eb1287eedeb6e7ebbdeb0f0
  • e2ea2a3c5e2538cdd6ea97452d9ea291afb1eff1
  • ef15bfb08ad93f3a1ce0c0ded1472937cb882f03

SHA256

  • 170e5dfe925e4065189a3708f3e565627b4def57bca550ad9c2a30f8c5a4c7f6
  • 2555ca7597171a0fc8ff75015e7e1d03c7ca5a632907640de65c6084d635b3a9
  • 4dc5c2c0a31713d668ee8950cfef5e01800aa7c9fbcfa3467b8d10d1fe84179a
  • 7d8540d7dde17e8f836e2cc04e79784dbbd713db5bf0f7b9356d5a2dcceec21f
  • cab22ba432a65c7db751e22a42f8a2079d3810312b24ecacccfd371bf514fe2d
  • cb5f62bf7b591e69bd38e6bf8e40e8d307d154b2935703422d44f02e403d2e78
  • cfc0ef98f7ede78059a2f794668cdb626c668511b25a75edef2d7ac72e5a3809
  • d457b15dfcdd6669d60af6d96f56757674b6f0fbba11999f76f47e03bd635d09
  • f893f73b879cf12b2ce821ea65465031ae6f30f7dc0c97c7e0acfc0d926dd92b
Комментарии: 0
Похожие записи
0
6 часов
IOC

Китайская группа электронных преступников атакует более 121 страны и представляет новый набор для банковского фишинга

security
Анализ Smishing Triad, китайской электронной преступной группировки, показывает, что она проводит SMS-фишинговые кампании в различных отраслях более чем в 121 стране.
0
3 дня
IOC

Mamont Trojan IOCs - Part 2

remote access Trojan
Недавно СМИ сообщили об аресте подозреваемых в распространении вредоносного приложения для Android, известного как Mamont. Это приложение использовалось в фишинговой кампании, в ходе которой пользователи
0
6 дней
IOC

APT-группа ToddyCat использует уязвимость в ESET для проксирования DLL-файлов

security
Группы APT используют различные методы обхода защитных систем, чтобы скрыть свою деятельность в зараженных системах. Одним из таких методов является использование руткитов на уровне ядра в системах Windows.
0
6 дней
IOC

Lazarus расширяет вредоносную кампанию npm: 11 новых пакетов добавляют загрузчики вредоносного ПО и полезную нагрузку Bitbucket

security
Группа злоумышленников Contagious Interview, предположительно связанная с Северной Кореей и известная как Lazarus Group, продолжает свою вредоносную кампанию, расширяя свое присутствие в экосистеме npm.