Главная страница » IOC
0
11 часов
IOC

Новые TTP и кластеры APT, атакующие с использованием нескольких платформ

security

Команда Seqrite Labs сообщает о новых тактиках, применяемых группировкой SideCopy APT, связанной с Пакистаном. Группа расширила свою сферу деятельности, теперь включая организации, входящие в состав министерств железных дорог, нефти и газа, а также министерства иностранных дел.

Описание

В последних кампаниях атакующие перешли от использования файлов HTML-приложений к пакетам Microsoft Installer (MSI). Они также использовали техники, такие как побочная загрузка DLL, многоплатформенные вторжения и отражающая загрузка. В процессе эволюции своей тактики они также использовали инструменты с открытым исходным кодом, такие как Xeno RAT и Spark RAT, а также новую полезную нагрузку под названием CurlBack RAT.

Атакующие выдают себя за государственных служащих кибербезопасности, используя скомпрометированные идентификаторы электронной почты. Они используют фишинговые методы, включая создание поддельных доменов, имитирующих службы электронного правительства. На этих доменах размещаются фишинговые страницы входа в систему для различных сервисов RTS городских муниципальных корпораций. Также были отмечены тематические кампании с использованием медовых ловушек.

В секторе обороны были обнаружены фишинговые письма, предлагающие обновленные графики и политические обновления, чтобы привлечь внимание целей. Атакующие использовали такие пакеты, как «NDC65-Updated-Schedule.pdf» и «Policy update for this course.txt». Оспаривается подлинность электронных адресов, используемых для атаки, и есть доказательства нарушения образовательного портала в Индии. Также был обнаружен фишинговый архивный файл, содержащий информацию о национальных праздниках.

Indicators of Compromise

IPv4 Port Combinations

  • 79.141.161.58:1256

Domains

  • cmc.egovservice.in
  • cpanel.egovservice.in
  • cpcalendars.egovservice.in
  • cpcontacts.egovservice.in
  • drjagrutichavan.com
  • dss.egovservice.in
  • educationportals.in
  • egovservice.in
  • gadchiroli.egovservice.in
  • mail.egovservice.in
  • modspaceinterior.com
  • nhp.mowr.gov.in
  • pakola.egovservice.in
  • pakora.egovservice.in
  • pen.egovservice.in
  • pmshriggssssiwan.in
  • updates.biossysinternal.com
  • updates.widgetservicecenter.com
  • webdisk.egovservice.in
  • webmail.egovservice.in
  • www.cmc.egovservice.in
  • www.dss.egovservice.in
  • www.egovservice.in
  • www.pakola.egovservice.in
  • www.pakora.egovservice.in

URLs

  • http://egovservice.in/dssrts/helpers/fonts/2024-National-Holidays-RH-PER_N-1/lns/2024-National-Holidays-RH-PER_N-1.pdf
  • http://egovservice.in/dssrts/helpers/fonts/2024-National-Holidays-RH-PER_N-1/lns/clinsixfer.elf
  • https://egovservice.in/130521/13/
  • https://egovservice.in/130521/set_authority/
  • https://egovservice.in/cmc/
  • https://egovservice.in/dss/
  • https://egovservice.in/dssrts/
  • https://egovservice.in/dssrts/helpers/fonts/2024-National-Holidays-RH-PER_N-1/
  • https://egovservice.in/dssrts/helpers/fonts/2024-National-Holidays-RH-PER_N-1/inst/
  • https://egovservice.in/pakora/egovservice.in/
  • https://egovservice.in/payroll_vvcmc/
  • https://egovservice.in/testformonline/test_form
  • https://egovservice.in/vvcmc_safety_tank/
  • https://egovservice.in/vvcmcrts/
  • https://egovservice.in/vvcmcrtsballarpur72/
  • https://modspaceinterior.com/wp-content/upgrade/01/
  • https://modspaceinterior.com/wp-content/upgrade/01/NDC65-Updated-Schedule.hta
  • https://modspaceinterior.com/wp-content/upgrade/02/NDC65-Updated-Schedule.zip
  • https://nhp.mowr.gov.in/NHPMIS/TrainingMaterial/aspx/Security-Guidelines/
  • https://nhp.mowr.gov.in/NHPMIS/TrainingMaterial/aspx/Security-Guidelines/wont/
  • https://updates.widgetservicecenter.com/antivmcommand

MD5

  • 0690116134586d41a23baed300fc6355
  • 0a67bfda993152c93a212087677f9b60
  • 0e57890a3ba16b1ac0117a624f262e61
  • 0eb9e8bec7cc70d603d2d8b6efdd6bb5
  • 1d65fa0457a9917809660fff782689fe
  • 320bc4426f4f152d009b6379b5257c78
  • 32a44a8f7b722b078b647e82cb9e85cf
  • 53eebedc3846b7cf5e29a90a5b96c803
  • 57c2f8b4bbf4037439317a44c2263346
  • 589a65e0f3fe6777d17d0ac36ab07f6f
  • 7637cbfa99110fe8e1074e7ead66710e
  • 83ce6ee6ad09a466eb96f347a8b0dc20
  • 8ceeeec0e33026114f028cbb006cb7fc
  • 97c3328427b72f05f120e9a98b6f9b09
  • 9d189e06d3c4cefdd226e645a0b8bdb9
  • 9de50f9357187b623b06fc051e3cac4f
  • a2dc9654b99f656b4ab30cf5d97fe2e1
  • a5410b76d0cb36786e00d2968d3ab6e4
  • b45aa156aef2ad2c77b7c623a222f453
  • b5e71ff3932c5ef6319b7ca70f7ba8da
  • c952aca2036d6646c0cffde9e6f22775
  • c9c98cf1624ec4717916414922f196be
  • cf6681cf1f765edb6cae81eeed389f78
  • e165114280204c39e99cf0c650477bf8
  • ef40f484e095f0f6f207139cb870a16e
  • f404496abccfa93eed5dfda9d8a53dc6
Комментарии: 0
Похожие записи
0
11 часов
IOC

Slow Pisces нацелился на разработчиков с проблемами кодирования и представил новое специализированное вредоносное ПО на Python

security
Slow Pisces - это северокорейская киберпреступная группа, спонсируемая государством КНДР. Они в основном занимаются кражей криптовалюты, нападая на крупные организации в криптовалютном секторе.
0
1 день
IOC

Китайская группа электронных преступников атакует более 121 страны и представляет новый набор для банковского фишинга

security
Анализ Smishing Triad, китайской электронной преступной группировки, показывает, что она проводит SMS-фишинговые кампании в различных отраслях более чем в 121 стране.
0
6 дней
IOC

NEPTUNE RAT: продвинутая Windows RAT с возможностью разрушения системы и извлечения паролей из 270+ приложений

remote access Trojan
Neptune RAT использует передовые методы антианализа и персистентные методы для сохранения своего присутствия в системе жертвы в течение длительного времени и оснащен такими опасными функциями, как криптокопилка