Главная страница » IOC
0
5 месяцев
IOC

LightSpy (DragonEgg) Implant IOCs - Part 4

security

Компания BlackBerry выпустила отчет, в котором подробно описаны значительные обновления вредоносной кампании LightSpy, включающие новые, расширенные возможности по краже данных, затрагивающие широко используемые коммуникационные приложения и системы.

LightSpy (DragonEgg) Implant

BlackBerry с высокой степенью уверенности считает, что разработчики LightSpy связаны с APT41, отслеживаемой Microsoft как Brass Typhoon, китайской группой кибершпионажа. Разработчики LightSpy внедрили в атакующие кампании основанный на Windows фреймворк для слежки под названием DeepData. Этот модульный инструмент, включающий двенадцать плагинов, поддерживает обширную кражу данных с таких популярных платформ, как WhatsApp, Telegram, Signal и Outlook, а также из менеджеров паролей и сетевых конфигураций.
Универсальность DeepData повышает эффективность кросс-платформенной слежки, позволяя собирать учетные данные браузера, переписку по электронной почте, системные данные и даже аудиозаписи с помощью различных плагинов. Примечательно, что это обновление также позволяет группе получить доступ к определенным корпоративным средствам коммуникации, включая Feishu и DingDing.

Плагины работают систематически, собирая и передавая конфиденциальные данные в командно-контрольную инфраструктуру, что говорит о нацеленности как на широкую, так и на целенаправленную слежку за субъектами Юго-Восточной Азии, включая, возможно, политических деятелей, активистов и журналистов. Используя новые SSL-сертификаты, APT41 повысила безопасность и долговечность своей инфраструктуры. По мнению BlackBerry, постоянная изощренность и регулярные обновления LightSpy и DeepData означают, что эта угроза, скорее всего, будет сохраняться и расширяться, что делает приоритетной задачей для организаций в затронутых регионах усиление мер кибербезопасности.

Indicators of Compromise

URLs

  • 103.255.176.176:28992/ asdgdsfdsfasd/Telegram.dll
  • 119.147.213.48:28992/asdgdsfdsfasd/Audio.dll
  • 119.147.213.48:28992/asdgdsfdsfasd/ChatIndexedDb.dll
  • 119.147.213.48:28992/asdgdsfdsfasd/data.dll
  • 119.147.213.48:28992/asdgdsfdsfasd/frame.dll
  • 119.147.213.48:28992/asdgdsfdsfasd/localupload.exe
  • 119.147.213.48:28992/asdgdsfdsfasd/OutlookX32.dll
  • 119.147.213.48:28992/asdgdsfdsfasd/ProductList.dll
  • 119.147.213.48:28992/asdgdsfdsfasd/SocialSoft.dll
  • 119.147.213.48:28992/asdgdsfdsfasd/Tdm.dll
  • 119.147.213.48:28992/asdgdsfdsfasd/WebBrowser.dll
  • 202.43.239.13:28992/asdgdsfdsfasd/appdata.dll
  • 202.43.239.13:28992/asdgdsfdsfasd/ChatIndexedDb.dll
  • 202.43.239.13:28992/asdgdsfdsfasd/SocialSoft.dll
  • 202.43.239.13:28992/asdgdsfdsfasd/SystemInfo.dll

MD5

  • 0f0fadd0546734c5c82f3c33d8268046
  • 3b61d82be05f18754238e26b835da103
  • 48f8b7e0db439336549b93bda8633cd2
  • 4b9aa7d571be1a6ec62931c4c6624328
  • 6ce2477efe7e853cea90764db5a64e6e
  • 7529f56dde7a8302947982c43080bfcc
  • 7efb1bc15ee6e3043f8eaefcf3f10864
  • 847ec30a4ff2391f1eb7669c22940e51
  • 8625c0cf0748d04d43db54884ee13672
  • b9129d83af902908fa7757e906ec0afe
  • bdd8926f4be6576653ac96ee732d587a
  • d521bf0f24c839e7ceb5db77de090fbc
  • d66776ee123ef2947bc3175653a68d05
  • e79da1e448c60e12d835b47735f9da03
  • ea47fd87c1b109d5fd529c213aea6b30
  • fb99f5da9c0c46c27e17dc2dc1e162d7

SHA256

  • 041c13a29d3bee8d2e4bd9d8bde8152b5ac8305c1efcc198244b224e33635282
  • 213520170fc7113ac8f5e689f154f5c8074dd972584b56d820c19d84b7e5b477
  • 2bfb82a43bb77127965a4011a87de845242b1fb98fd09085885be219e0499073
  • 37a1ffaba2e3ea9a7b2aa272b0587826cc0b5909497d3744ec8c114b504d2544
  • 460f1a00002e1c713a7753293b4737e65d27d0b65667b109d66afca873c23894
  • 55e2dbb906697dd1aff87ccf275efd06ee5e43bb21ea7865aef59513a858cf9f
  • 666a4c569d435d0e6bf9fa4d337d1bf014952b42cc6d20e797db6c9df92dd724
  • 724351b5cc9ad496a6c9486b8ef34772f640590a90293f913f005e994717134b
  • 735d59c0949e258501e177ec2dd5fbb60df9fa401ace08949b89077c6f0d41d0
  • 88e5ca44189dabb4cec8a183f6268a42f3f92b2c6d7c722d7f55efd3dc5334c8
  • a560931baa404189257ec9cbcc2b9449c579018218cc1d70c99b1d36dd292a0e
  • ac7e20d4ddccc5e249ff0c1a72e394f9c1667a896995cf55b97b4f9fbf5de2fd
  • b523cdd1669dbd7ab68b43fd20f30a790ec0351876a0610958b9405468753a10
  • b79629e820cdd36d0daed964a2c0338e125a1f90f08e226f52dc60070747c62e
  • c3995f28476f7a775f4c1e8be47c64a300e0f16535dc5ed665ba796f05f19f73
  • ccfd6ef35c718e2484b3727035d162b667f4b56df43324782d106f50ed1e3bcc
  • cf59cd171270ec9bc2baf618838eb57802cc9d48f64205da308406811dd4da92
  • efff4106cfd21a356b13a5a99c626a4f103f03b9491c0f1f5e135c1e3c84e76c
Комментарии: 0
Похожие записи
0
1 месяц
IOC

LightSpy расширяет список команд, включая платформы социальных сетей

security
Исследование обнаружило, что модульная система наблюдения LightSpy, известная с 2020 года, способна компрометировать различные платформы, включая мобильные устройства, Windows, macOS, Linux и маршрутизаторы.