Аналитический центр AhnLab Security Intelligence Center (ASEC) обнаружил кибератаку, направленную на корейских пользователей и системы, в ходе которой неизвестный злоумышленник развернул различные вредоносные программы для удаленного управления.
Вредоносное ПО включало в себя обратные оболочки, бэкдоры и такие инструменты, как AsyncRAT и AnyDesk для удаленного доступа. Злоумышленник также использовал протокол Remote Desktop Protocol (RDP) для управления экраном и кодировал выходные данные на корейском языке, что позволяет предположить, что основной целью были корейские пользователи. Первоначальный вектор заражения остается неясным, но, по мнению ASEC, в этом может быть виноват копьеметание и использование уязвимостей в веб-серверах IIS и MS Exchange.
Примечательно, что в атаке использовалась смесь самостоятельно созданных и общедоступных вредоносных программ, включая Fxfdoor, ранее связанный с северокорейской группой Kimsuky, и noMu - бэкдор, разработанный на языке Python, который, как подозревает ASEC, является пользовательским. Хотя точная цель атаки остается неизвестной, есть основания полагать, что злоумышленник стремился украсть информацию, а не внедрить выкупное ПО или майнеры монет.
Indicators of Compromise
IPv4
- 103.251.107.3
- 112.217.201.68
- 121.161.182.132
- 49.1.239.101
- 59.120.37.180
Domains
- a98f3ce.shop
- bossmakemoney.rest
- flashcore.shop
- hypermakeup.shop
URLs
- http://103.251.107.3/down.php?file=2.bin
- http://103.251.107.3/down.php?file=32.bin
- http://103.251.107.3/down.php?file=62.bin
- http://103.251.107.3/down.php?file=69.bin
MD5
- 085bebd949c45ec39dbe2a2b09d063d6
- 1014012371d8b8d4fd78359eae177b88
- 17f0dfbaaa9998aa0cffde716ececd4e
- 188f9ce25097f23696d30cd44ae1947c
- 1bd403ae72eb785bf148859d4867efa3
