Главная страница » IOC
0
5 дней
IOC

Новые постоянные атаки на Японию

security

Компания Cisco Talos обнаружила активность неизвестного злоумышленника, который направляет свои атаки преимущественно на организации в Японии.

Описание

Атаки осуществляются с использованием уязвимости CVE-2024-4577, которая представляет собой недостаток удаленного выполнения кода (RCE) в реализации PHP-CGI в ОС Windows и позволяет злоумышленнику получить доступ к машинам жертв.

Для дальнейшей эксплуатации, злоумышленник использует плагины Cobalt Strike kit "TaoWu", которые развертывают полный набор инструментов и фреймворков размещенных в облачном контейнерном реестре Alibaba. Помимо сбора учетных данных жертв, злоумышленник проводит и другие действия после взлома, такие как создание постоянства, повышение привилегий и потенциальный доступ к вражеским фреймворкам, что указывает на возможность будущих атак.

Изучение командно-контрольного сервера (C2) показало, что основные цели злоумышленника - японские организации, занимающиеся различными видами бизнеса, включая технологии, телекоммуникации, развлечения, образование и электронную коммерцию.

Злоумышленник эксплуатирует уязвимость CVE-2024-4577, используя программу-эксплойт, предоставляющую удаленный доступ к машине жертвы. После этого происходит разведка системы и привилегий пользователей, а затем злоумышленник использует различные программы-эксплойты для повышения привилегий и установки постоянства. В качестве инструмента злоумышленник также использует команды Mimikatz для дампа паролей и хэшей NTLM из памяти.

Вторжение начинается с использования скрипта эксплойта Python, который проверяет, подвержен ли URL-адрес уязвимости CVE-2024-4577. Если уязвимость присутствует, злоумышленник выполняет команды в виде PHP-кода на серверах жертвы и получает результаты. Чтобы вызвать заражение, злоумышленник выполняет команду PowerShell через PHP-код, что приводит к загрузке и выполнению скрипта-инжектора Cobalt Strike с сервера C2 в памяти машины-жертвы.

Это вторжение подтверждает растущую тенденцию злоумышленников использовать уязвимые публичные приложения для получения первоначального доступа и подчеркивает необходимость обеспечения безопасности систем и защиты от подобных атак.

Indicators of Compromise

IPv4

  • 118.31.18.77
  • 38.14.255.23

URLs

  • http://38.14.255.23:8077/6Qeq
  • http://38.14.255.23:8077/jANd

SHA256

  • 07d8a505492566daeb6174c312a4f7114dc60efcd1d17fef12ca0b8d6303fb2b
  • 0ff87724012499381266e5eb8481117ed4549f44fa88be2c517afee899c2179f
  • 3c6511b15e3b0e8c378a549347fa0f0745fd371aaa86206cb03528fdc0a23b29
  • 6b5a75dcc505ac1c065844be27ee6d4693ac51abfc04aaf9bbfc1a06e69a19fd
  • 73d908725a08dcfebf300ef187dab1c5ba1c3cba8343c678df49335ba7e89e47
  • 8015b6036ecbae1f9e850af6bdf361d7598201cd4d4c55ae334ed72cf17ba94d
  • 829c5a07b065b15969ea8c519705d64fc4c1c39c05e898fc9abfbdb289c484d5
  • 83290b2f6e7b3fb1bcfa90ed1e550acaeb85c7dc0cb4476b35818436af9395d2
  • a2f493769c0cd1cb3518571678f071588d683703ed368830f15405c1eb4028b2
  • ad5f610e8fb4f0d74d5d761532c8c8b2b9e01a2a402ba89389794d15ecca8337
  • ccedc244ad5933537231139e24b4cad0df3e44d3b2944ef3b28dea5973396185
  • cec655cc4c6bfcbc336d3afc4e5537e619bcf58329d291a51f39b3d3a250e962
  • f7396835d69675b138d0e2bee9b4ceb0a048bf705cb2f1012f1eee51e406d6e6
Комментарии: 0
Похожие записи
0
18 часов
IOC

Blind Eagle APT IOCs

security
Группа APT-C-36, известная также как Blind Eagle, продолжает активно атаковать колумбийские учреждения и правительственные структуры, используя уязвимость CVE-2024-43451, которая была исправлена Microsoft 12 ноября 2024 года.
0
18 часов
IOC

SideWinder нацелилась на морской и ядерный секторы

security
APT-группа SideWinder продолжает активно расширять свою деятельность в морском и ядерном секторах, используя обновленный набор инструментов. В прошлом году исследователи обнаружили, что группа заражает