Главная страница » Индикаторы компрометации
0
8 часов
Индикаторы компрометации

Маштабная кампания по заражению компьютеров с использованием Cobalt Strike и Minhook DLL.

security

Компания Sophos отслеживала атаку на своих клиентов в конце 2023 года и в начале 2024 года, выявив использование библиотеки Minhook DLL для обхода вызовов Windows API и появление Cobalt Strike как полезной нагрузки.

Описание

В результате расследования обнаружено, что кампания сместила свое внимание с дальневосточного региона в Швецию, причем исполнительный файл боковой загрузки выхватывался из зараженной системы. Несмотря на использование компрометированной цифровой подписи для компонентов, исследование продолжается, обогащая полученные знания. Были замечены подобные инциденты в Китае и Тайване, где C2-соединения с серверами Cobalt Strike были обнаружены внутри Windows-сервисов, таких как Miracast.

В ходе исследования случаев боковой загрузки MiracastView, Shellcode/C2Interceptor установил соединение с сервером Cobalt Strike. Анализируя чистые и вредоносные загрузчики, а также файлы полезной нагрузки, обнаружены связи с C2-серверами, свидетельствующими о проникновении Cobalt Strike. В случае с боковой загрузкой PrintDialog, было выявлено использование легитимного установщика LetsTalkApplication, предположительно распространяемого через чат-приложение от тайваньской компании. Также был обнаружен сценарий боковой загрузки SystemSettings со схожими компонентами вредоносной активности.

Исследование позволило выявить общие элементы в разных случаях боковой загрузки, включая использование конкретных файлов полезной нагрузки и C2-соединений с серверами Cobalt Strike. Несмотря на сложность восстановления вредоносных файлов, анализ имеющейся информации позволяет предположить одинакового создателя компонентов во всех инцидентах.

Индикаторы компрометации

Содержание
  1. Domanins
  2. URLs
  3. SHA256

Domanins

  • bostik.cmsnet.se

URLs

  • https://github.com/howmp/pyminhook/raw/master/minhook/MinHook.x64.dll

SHA256

  • 0bba1b25f7065118fbfd607a123b6c09d8b97ab5be4ca42b56a994188408f7a9
  • 3f4cac516b8f2ccb6f10042100369c018d8671972fad360977fe522fd47e06c6
  • 402be231f1c9258bb1510962b15c3ea5410e54f97e3269cd6cd4c355822798d1
  • 47f60c25ab5bb07dc3f65694302991a0796a29021b570a2335acda8196dd2b52
  • 880dea11f75380e300bfd5c8054a655eacb2aa0da2c0d89fef3c32666df9a533
  • b72daf654fc83cd6ccccedbf57a102b48af42f410dbc48f69ec5c8c62545dc18
  • bc56676f0da4b0fba57aaa51d390732e40ef713909e5a70bb30264b724a65921
  • e768ff1f2f31178fe5930f261acd4b19464acc019fb0aa697d0b48686e59050c
  • f87cb46cac1fa44c9f1430123fb23e179e3d653a0e4094e0c133fa48a924924f
  • fd93d7a9f884e0b63106e669a10b8faeaaafda49fac05a66d8581c9e9aa31ad3
Комментарии: 0
Похожие записи
0
28 дней
Индикаторы компрометации

Партнеры Qilin атаковали администратора MSP ScreenConnect, нацеливаясь на клиентов.

security
В январе 2025 года администратор поставщика управляемых услуг (MSP) получил фишинговое письмо, представлявшее собой предупреждение об аутентификации для удаленного мониторинга и управления (RMM) инструмента ScreenConnect.
1
1 месяц
Индикаторы компрометации

PJobRAT снова атакует чат-приложения

remote access Trojan
RAT-троян PJobRAT, предназначенный для андроид-устройств, был впервые обнаружен в 2019 году и нацелен на индийских военнослужащих. Недавно исследователи Sophos X-Ops обнаружили новую кампанию, нацеленную на пользователей из Тайваня.
0
1 месяц
Индикаторы компрометации

Обнаружена массовая эксплуатация критической уязвимости PHP-CGI по всему миру

security
Злоумышленники устанавливают маяки Cobalt Strike и используют инструмент TaoWu для постэксплуатационных действий. Атака распространена в регионах, таких как США, Сингапур, Индонезия, Великобритания, Испания и Индия.