Главная страница » IOC
0
1 год
IOC

Nightdoor Backdoor IOCs

security

Исследователи ESET обнаружили кампанию кибершпионажа, которая, по крайней мере с сентября 2023 года, жертвами которой стали жители Тибета, используя целевой "водопой" (также известный как стратегическая веб-компрометация) и компрометацию цепочки поставок для доставки троянизированных инсталляторов программного обеспечения для перевода тибетского языка. Целью злоумышленников было развернуть вредоносные загрузчики для Windows и macOS, чтобы скомпрометировать посетителей веб-сайтов с помощью MgBot и бэкдора, который, еще не был публично задокументирован; ESET назвали его Nightdoor.

  • ESET обнаружили кампанию кибершпионажа, которая использовала фестиваль Монлам - религиозное собрание - для атак на тибетцев в нескольких странах и территориях.
  • Злоумышленники взломали сайт организатора ежегодного фестиваля, который проходит в Индии, и добавили вредоносный код для создания атаки "водяная яма", направленной на пользователей, подключающихся к определенным сетям.
  • ESET также обнаружили, что цепочка поставок одного из разработчиков программного обеспечения была взломана, и пользователям предлагались троянские программы установки для Windows и macOS.
  • Злоумышленники использовали для этой операции ряд вредоносных программ-загрузчиков и полнофункциональных бэкдоров, включая публично недокументированный бэкдор для Windows, который ESET назвали Nightdoor.
  • ESET с высокой степенью уверенности приписывают эту кампанию APT-группе Evasive Panda.
Содержание
  1. Indicators of Compromise
  2. IPv4
  3. Domains
  4. SHA1

Indicators of Compromise

IPv4

  • 188.208.141.204

Domains

  • tibetpost.net
  • update.devicebug.com
  • www.monlamit.com

SHA1

  • 0a88c3b4709287f70ca2549a29353a804681ca78
  • 1c7df9b0023fb97000b71c7917556036a48657c5
  • 2a96338bacce3bb687bdc274daad120f32668cf4
  • 3eee78ede82f6319d094787f45afd9bfb600e971
  • 5273b45c5eabe64edbd0b79f5d1b31e2e8582324
  • 52fe3fd399ed15077106bae9ea475052fc8b4acc
  • 5748e11c87aeab3c19d13db899d3e2008be928ad
  • 57fd698ccb5cb4f90c014efc6754599e5b0fbe54
  • 59aa9be378371183ed419a0b24c019ccf3da97ec
  • 5e5274c7d931c1165aa592cdc3bfceb4649f1ff7
  • 70b743e60f952a1238a469f529e89b0eb71b5ef7
  • 7a3fc280f79578414d71d70609fbdb49ec6ad648
  • 7c3fd8ee5d660bbf43e423818c6a8c3231b03817
  • 82b99ad976429d0a6c545b64c520be4880e1e4b8
  • 8591a7ee00fb1bb7cc5b0417479681290a51996e
  • 8a389afe1f85f83e340ca9dfc0005d904799d44c
  • 944b69b5e225c7712604efc289e153210124505c
  • a942099338c946fc196c62e87942217bf07fc5b3
  • c0575af04850eb1911b000bf56e8d5e9362a61e4
  • f0f8f60429e3316c463f397e8e29e1cb2d925fc2
  • fa44028115912c95b5efb43218f3c7237d5c349f
  • fa78e89ab95a0b49bc0663f7ab33aaf1a924c560
Комментарии: 0
Похожие записи
0
17 часов
IOC

APT-кампания Earth Kurma нацелена на правительственный и телекоммуникационный секторы Юго-Восточной Азии

security
APT-группа Earth Kurma, активная в Юго-Восточной Азии, атакует правительственные и телекоммуникационные организации с использованием вредоносных программ, руткитов и облачных сервисов.
0
4 дня
IOC

Shedding Zmiy использовал руткит Puma для атаки на IT-компанию

security
В ноябре 2024 года специалисты Solar 4RAYS были вызваны для расследования инцидента в одной из IT-компаний. В ходе расследования выяснилось, что на связь выходили известные C2, принадлежащие группе Shedding Zmiy.
0
4 дня
IOC

Червь Shuckworm нацелен на иностранную военную миссию, расположенную в Украине

security
Группа Shuckworm, продолжает свои атаки на правительственные и оборонные организации Украины. В новой кампании, начавшейся в 2025 году, они нацелились на военную миссию западной страны, расположенную на востоке Европы.