Главная страница » IOC
0
6 месяцев
IOC

Obstinate Mogwa APT IOCs

security

Obstinate Mogwai - опытная хакерская группировка, базирующаяся в Восточной Азии и специализирующаяся на кибершпионаже, часто нацеленном на правительственные организации, IT-компании и их подрядчиков. Группа активно действует как минимум с 2019 года.

Obstinate Mogwa APT

В период с 2023 по начало 2024 года были проведены расследования атак Obstinate Mogwai на несколько российских организаций. Группа использует различные тактики для получения доступа к целевым сетям, включая эксплуатацию публичных приложений, использование доверительных отношений и использование действительных учетных записей. Особый интерес они проявляют к компрометации серверов Exchange в качестве средства проникновения в целевые инфраструктуры.

В ходе расследования было установлено, что злоумышленники использовали такие известные вредоносные инструменты, как KingOfHearts и TrochilusRAT, а также два недавно обнаруженных бэкдора - Donnect и DimanoRAT. Obstinate Mogwai демонстрирует упорство в своих атаках, часто возвращаясь к организациям-мишеням даже после того, как первоначальный доступ был заблокирован. Они также продемонстрировали способность к адаптации, обходя политики копирования данных и получая доступ к конфиденциальной информации через удаленные сеансы и просмотр файлов в режиме реального времени.

В одном случае инцидент был связан с поставщиком ИТ-услуг в 2023 году. Obstinate Mogwai заразила несколько серверов в инфраструктуре компании, включая контроллеры домена, почтовые серверы и другие ключевые системы. Атака была сложной, и группа сохраняла доступ к сети в течение двух лет до начала расследования. В отчете также упоминается использование техники десериализации VIEWSTATE.

В целом, атаки Obstinate Mogwai демонстрируют высокий уровень экспертизы и упорства. Способность группы компрометировать различные организации и ускользать от обнаружения в течение длительного времени представляет собой значительную угрозу для безопасности целевых организаций.

Indicators of Compromise

IPv4

  • 108.160.136.200
  • 116.251.217.104
  • 122.192.11.114
  • 122.96.34.142
  • 139.162.111.143
  • 139.84.139.176
  • 149.28.189.102
  • 158.247.203.87
  • 181.215.229.119
  • 185.132.125.154
  • 185.167.116.30
  • 185.4.66.116
  • 188.116.22.90
  • 188.130.160.144
  • 192.121.171.190
  • 192.121.47.214
  • 192.248.153.215
  • 193.47.34.229
  • 194.68.26.142
  • 194.68.26.164
  • 213.135.67.198
  • 213.183.54.200
  • 213.183.56.238
  • 213.183.57.73
  • 27.102.115.153
  • 31.192.234.35
  • 31.214.157.5
  • 38.180.29.3
  • 38.54.16.120
  • 45.12.67.18
  • 45.150.64.23
  • 46.161.15.98
  • 46.8.43.28
  • 5.188.33.50
  • 5.8.33.45
  • 51.79.191.204
  • 85.159.208.143
  • 86.105.227.126
  • 86.106.102.119
  • 92.119.159.22
  • 92.243.66.166
  • 92.38.160.212
  • 92.38.160.7
  • 94.177.123.215
  • 95.179.249.142

IPv4 Port Combinations

  • 27.102.115.153:443

Domains

  • api.hoteldinamo.com
  • api.lordsofthelands.io
  • cariolis.com
  • dns.russianpaymentsforum.com
  • dns-stream.com
  • down.softupdate.com
  • down.soft-update.com
  • go.thejra.com
  • help.springnow.net
  • home.thejra.com
  • hy.indiatopsite.com
  • lion.thejra.com
  • macbook.thejra.com
  • my.thejra.com
  • parking.samogony.com
  • Pitmanbed.space
  • reformamebel.com
  • rental.lordsofthelands.io
  • rentalapi.lordsofthelands.io
  • Rhodesauto.space
  • Rralphfood.space
  • seanpi.thejra.com
  • secure.thejra.com
  • skypi.thejra.com
  • ssl.hoteldinamo.com
  • tes.indiatopsite.com
  • ttl.huzfs.com
  • vip.lordsofthelands.io
  • vorots.com
  • vorots.ru
  • www.iss-tass.com
  • www.puzirik.com
  • yandexcloud.samogony.com

MD5

  • 0312f474debf9cef2843fa67b56f2c3d
  • 078d72a61fe3de477669fcf07ef66fb3
  • 0a8ae8de9650a695eeb27a783fc299f3
  • 0b67e974fb8e80bd9b72fbb2974237d2
  • 122c17230e1bd8f3670901cf73238ddc
  • 17642a0f2b976c61e0eb866640d04a8c
  • 1be0dbf20f29ea302208d79e88c88539
  • 25c047f53e1b6b88d376e90a3d987050
  • 31940f6eac72022abc1abf52d1d89e9f
  • 31d65aa6735c05a83ced34595013045e
  • 3239a8656c675a83ac84a68e06869827
  • 325b897cde70ce7c42f0a8c6e135b6c2
  • 3be986a5d6da9fbade41421f6860ca68
  • 3fafe14286fe98df8b674f19402d9edb
  • 42f0dc07131705738a14baffd560be7c
  • 4ece4abc0ab1b8b1147095f159b77a89
  • 505af1d8b13ff998492021380221e4b9
  • 518ae23346d7bf3bd38dd30385fa99fa
  • 5bd4a2a0894f8c4e492c041ced17b221
  • 5d61be7db55b026a5d61a3eed09d0ead
  • 5f4e4079608b123943e11770d46ab881
  • 607654a81bb6c49d70d3601b70d968b2
  • 619f7135621b50fd1900ff24aade1524
  • 6e8020a14a26ce32dab8df6eb1257667
  • 72491c7b87a7c2dd350b727444f13bb4
  • 7422724288e63d548c474b305e267b2e
  • 778aad6cb90efb907454796fbab20a9d
  • 7b4ec1bdf76d88cee0e8a880f75184a2
  • 7cb1d6219f9b0f71e5ae80b67ef5ab7b
  • 842ebb16b5a0a7a55f35cd53fbc53e3b
  • 8867f74c013c0132a04b9c4f0b1ca367
  • 8f4a99bc93f9c88a05e80770736d3bfb
  • 962ac92c11b3fce84603fca34bfd6d5f
  • 96642718c6923b0067caa5bb4be3dcef
  • 97f37f99edf74805812d5d251dc59e46
  • 99ccc389df4fa9c109f47d61e4aa5b2b
  • 9a1799b33499474dbffa658a8d6c70f1
  • 9ae9828a9e7cbe43dc146e7771d4f8f7
  • a022c93e1b9e43f38bea0be55b34ecd0
  • a679c7c7f7a0e960e0cda3ef465ec53c
  • a83201e9de3dae06aae1ae5306eba5c3
  • ac7222db58b804aad7ef45cc2d884692
  • ae0ac04e64abf20870a5814f047a0658
  • afc08ce359e79887e45b8460e124d63e
  • b8b371eaf4aa05d68e24e2ceb582cc1f
  • bb0241fe783e5db8c34ece460cebeaa1
  • bb3cf91ad5ab1991b048a3acd1414532
  • c07c7ff79bd41e8d28659568d80109e1
  • c12f657efa3fa47e43e2b313a4e28d27
  • c9de939b7393aac6225abd82f9abc2fb
  • cf40fe8a588711f4fd716396dca9a1a1
  • d053a16ced6382d1ec0b9869f9084860
  • d2b058f69a29f2e25f19eb4d7e15416d
  • d69b2002478ce63143140df5669523aa
  • d95d2654b737f76305c1410c0cadcc40
  • dbab6271567d7d0774fdddf5eb5e50c2
  • dbbcfdb01b4912bb9c935edf89f400c2
  • dc8f54c05d9ca2794b0af00c3130f20a
  • def27ebdd447c605a05836fb359460b2
  • e091fe0e163500f7bb2521e96c1f8880
  • e0e2e67a6217c6ba30a407dc82f908db
  • e7ae42ea24cff97bdead0c560ef2add1
  • e7dc06c7e2de61cf84ba10e7a12d764c
  • f01a9a2d1e31332ed36c1a4d2839f412
  • fb9e1ee7c2a9d439d830076887368c77

SHA1

  • 02c414ba686525f15fd239f0a591e48012f35ce6
  • 104ebbb0ec5ca7c652e4b3ee0366523fd898c865
  • 1468447a6de4698754d948e878df570266e47dc8
  • 18d9254e897fed81e6e0384e75838ba1fbdd3e44
  • 1a39a8afee5f8d327d238a13547b24616f0ada9f
  • 1e9338d56db7ded386878eab7bb44b8934ab1bc7
  • 215950ce5d40907b041346f22b4e404ee591581d
  • 265ed11c930682ccda55b19819e7ad6725f49093
  • 274f0e048c4c9da595eba52b96faaeeada01a737
  • 28881982edee9192573ce9e931772bed9fea3cef
  • 2ee2165177a55eaf8aae1081d6571f3067c2db9a
  • 301146af6767b651aa99e2d5f86e4da8e9be1c45
  • 303676ff8e4317ea2603385caf9f4b74fd3e84be
  • 318a7059baa2a74f91e2e1c184e1cb87691280f2
  • 32645cf32ea715bc41c72089b946c384a6a7e155
  • 3b29abd7e1de1d2fc4c8c7891aca7774113da4d2
  • 449992804bce496f7e328138326c4b607933ea9b
  • 453d2639e1e83e486a3d9a99788b4e650a2666db
  • 46273dcd110c2ba56ac056c11d06d2a994d434ee
  • 48acc122615802b00c3aafdcc753bc531028b9df
  • 48f4ba8c10c02146af502a568416e70a86fe4108
  • 51c9c4f9d2f302be0010ecf107cdbabb15ae5986
  • 5212b2e283ad0c78deefd12dc12b91e776fc7954
  • 57b25145303cf1ee68389c9e760a6cc054c9ddaf
  • 5b70c9bbde07a1516525f33dbef064e5f2c24d12
  • 5dfae4fd438f6474cf83d9f2b15890b4ab37ee8a
  • 5f79e11dbb6a6eefbfc02404f9cbf2a12d0d54ed
  • 645901c3a130368443d4160da5f31b2123b5952f
  • 64bf7617fe42800d4da8cf1f2201eafdc9a3174e
  • 6acbc4ccbddf8f124b61a4fa0b897eb7203695b1
  • 6c7ea8bbd435163ae3945cbef30ef6b9872a4591
  • 7b700dc311320aba5e7aa2b7641aea3d9e3a52f0
  • 7d6c84ca8839e694ca8465430d13398b0f099612
  • 806d2a6e3d038805af914548080841a98c6673e5
  • 8145a00085d41ad1b26b041b08e139fb71e287c5
  • 866f380a62622ab1b6c7705ddc116635e6e3cc86
  • 905fadbfb5ad3bbf95713c5115eae4c04a73059e
  • 90da10004c8f6fafdaa2cf18922670a745564f45
  • 97c30ae487a08aa3b3cdc8ab0498923d5192d645
  • a9497942551529a2af3545e40e54927e2bb7c531
  • ad53700ca78f887ef6fdd0d2cfcc570c107675e2
  • adee650c278fdec5aaa710c94c71a47dd291fc04
  • b1272f3dc61e96b7f7c64e91a0ab244fe0652a21
  • b8c9b8754e74492a5f63fcde9874c757c42356e2
  • b93319e72623c18abd75930170defffe3fb0bd14
  • bd910879b14d577f6c40b537bdf581c98884da12
  • c319dd49ca2bd34b338e0eadffb41b7acee83c53
  • cf4641aa1851155e9d545b78c0b2732be42a748e
  • d113bc67d41cef98900eaa084fc83dba6b4698b4
  • d67ff6ae5990db924350f11f27e3e595b4aadc9f
  • db7a5fe8c3f00254d0e87d197361cd65a9687f83
  • de65c467c6decd71c2e250516601f8e231f431da
  • df2a87f3c142925ff63cc264b2d3a628c3d666d4
  • e104ff975ae79f9a2a68b49db59491dd4b52a56e
  • e8dcddb302f01d51da3bcbfa6707d025a896aa57
  • e99f20a17119249585391966450ab643fd36ecf7
  • e9afd6e688e58bd15ea6d03b9dab83fbcab141f3
  • ee51268582ce685a2a7be31cd52abaff9dff4b0b
  • eeea5edd64aa969d3ff218111ac4f137875e39b6
  • f67417ddebec53ae1d847c73bd14ef62774d77eb
  • f7b57186feea1cf3d738260f2d77f0edebf1e71c
  • f9a9ebab934d4154917116cdbde8ae0b2092c792

SHA256

  • 04874e7db2e6d63b0ffd0c0280bbd29e3f6fa1571328743d09c711160676daef
  • 09382b9dfb902539377fec544fb29418565f92f5b009665e5fd29d9ff145fadf
  • 099917e1c392c16bf228b7d85e7732841fdb87174e718842c9aad477b5e34203
  • 09db6b70efa3a26dee62812f0c428979ea9bb46128eb5dae32a72fc258fb6e5c
  • 11cfc078bc578f23b5a8aaa7a580336a8e703ee830c2d37ad31566dcba2af5fd
  • 12bac8c57e469cbe6041dec682d2a4888a36a128bb9b87cd656bd4e2abe65692
  • 175189ec02461fe2eaa8766b2602611eeee7dfb36ef6c822c30d9f8887abc304
  • 1b5f79e439f3aa43804d0dd0aaba0af6da15ecf6d03b4b8f1f25cef08ffc26fc
  • 1d1cb9b169bf3dc0cc7006f369f86f120e483ebd0ff84cdc7f5943d276f76961
  • 1fcf74e0337a4cd1cacefb0185c1c9b6ffff813d293b38602e9a972be1027acd
  • 1fd4e67caf3a047a222cf14364ae415dd1e2903c1595745ad6bb3ff38e52a803
  • 210cc53d030ce3e21287fc11f59511ff49766445fc14b93db7538c19c9f8e880
  • 2d7a7f3afe32265562a79b94a9264e7fe94125647396bb21273a6002b106d100
  • 321a9532dfa7bf0609f0e2a2af0ca89f943e9fb91f5972e4381a9e455eea14c8
  • 32b2cce757b099f3068928eb4733442ce7f097e4ceb2fa495c3e67171a7c0a13
  • 330c05ecd4083c279bfa11a7f41b0844f514b81baccfd3718e854175fac38d20
  • 344f076bb1211cb02eca9e5ed2c0ce59bcf74ccbc749ec611538fa14ecb9aad2
  • 34ad9bb80fe8bf28171e671228eb5b64a55caa388c31cb8c0df77c0136735891
  • 353ad4ab4465d638bcf12851ae955eb3728b94b02bb3ec81e3f834c99911821b
  • 3edd50cfddf013e3bcaf54cb34841b760bf26a794a955591c09e8f3dcd0a2066
  • 3ef4c1251e55f207420e27897e2969fb9069884c700164f3bbeedd3ef95b6d2e
  • 47fd05c4ebb2de563ac3138043d65f395c7946ff724aa63c5bb4da7e14edfe19
  • 5164404a6d04de01e5f869706d218316fc6897063ab19e7d1cb3565b2fecafc4
  • 5458efaf14947640c2d27d065455072943f4aa4020bfe816213089e060a5bb88
  • 58740a72def7f2642924f42a4637ec4b7a05666fd433e58bc80ddba30af7c2e7
  • 6164c0e1aa6d4e67946066a89b2c08002a046fa6ec7df55bd5def95d6278da3c
  • 6210b55cf5dbca5fb4f2d660e103291431d445e6f1e0a537bf344a584814e79d
  • 6347aa71c7fea4c903d42c38220614ff45db62e3edaafe09a2e1da7823dc1b1b
  • 69bb846d865cd7d26c95b044d52aa9200a107f1db1f1e5e23f27b20dac9f7848
  • 6f53de7bf5d04de61947e64ecff2b14f1103dd423041956ee636b15882d00467
  • 705b7e10d6fd7b7aff135ed2f50a229489baf5b53baa210dfb2c955303bc6a92
  • 7a9cf367e78eb73cb5c0618227f78f4f2bfa4328946e92fa91aeeccf730f973f
  • 7d331e7ae3d29dc3a5bc63f26710e6b9314da8331741b7037b32cbee4a82ce46
  • 824659b20d804698092fffe911d55175e3ecf9269620059c38937356c2be5923
  • 8451eaa0ba4eecf5d126660b5fef598ec2ab4ace3f7b9566d01278b0c9dcedfb
  • 8c28ba26c38cfba0091d33a95700f07fb31b63eebf6217441d49798e82a43ae2
  • 8f2e45baab19660dd5968c4b650f7e0543597cca05dc1cefee0b755f32ed16fc
  • 93ddb14e410a0cf0b43928fe90b179305ef799c2aa51dbf5976f8c6a1a24a496
  • 971c5164abf1ea2f377d308967967e060ec0b0534bc6e142c61816e49703f844
  • a20d93e7dc3711e8b8a8f63bd148ddc70de8c952de882c5495ac121bfedb749f
  • a251b9346b72eb143e9671523d589a9fbda8179873cd409eadb1fbbb7cf9cfc1
  • a2f490902f063cb2bc1c90404be51e48e876023952a7872b55f5ecf80506fef4
  • a413b013555ae690b4ad4f3df475f39805cb9972c9219a102f9f9fe1675ac2f7
  • a62163153ccd268e47492c912bfdd40ceb3df8142e0741071ab010ab6554795c
  • aa6ea2a8f21c7b4de20af8ee2f33c0d4653d0639bc673da31fe40dc019cb675a
  • ab223ac662d000d8c602771064ce63377bb4a4935667cb8bc182333a605898e7
  • ad4b862900c28a151dc305d8d22f56ec97c8d9f0ead38fcfa3beff0b263ac9a2
  • b18e4d7b04dec96007c56a07e90c7577a811d24ecd01ccd9cdeef085cbda6ffb
  • b548bdecd15dc51d28be699dd91199523f3705e6557fef3a53b321f1fded3b4f
  • b5dba723c9258435b74385815cd8ca2da92a81e279f4a37f10a2fc839defb422
  • b5f3b212f87d612b47c9775378c62730011659cf2729683a97180867dcef8a3a
  • b89c51923cc04d1e3d7ae095b01e00cdc3a0b19edd1911dcb6eef1d0b17b72e1
  • b8aead0e9f79ba7adde38ec3c2b2283bb89db606a788df118be906b171200aca
  • b9129eda8a7a931f5eccdbfe77826fbda7c930e7ec89240b1c36ff89c94bdfd1
  • c1bec59afd3c6071b461bb480ff88ba7e36759a949f4850cc26f0c18e4c811a0
  • c421fe090619ce10abc899f47a68383c1151d737e3d6f4e5815ad61e37357fcb
  • c4619f534a38c07b79612390e17d6fb0fb34c9093b473c16c94f2791899fda10
  • c9d5dc956841e000bfd8762e2f0b48b66c79b79500e894b4efa7fb9ba17e4e9e
  • ccf7f8b000280bafc69f3e6ea07b482ecf7994b9421fa6eae47dd9cea3f5d848
  • d23673759cf004024b2a77a31543f0f71c8805827b2ca9c67ce95190beb0560f
  • d32cc7b31a6f98c60abc313abc7d1143681f72de2bb2604711a0ba20710caaae
  • d47c56438cabf5080a211606764a1c20207bc2589adbb9d0b4acd8f8c57c596e
  • db2897eeea65401ee1bd8feeebd0dbae8867a27ff4575f12b0b8a613444a5ef7
  • dcc273ab4d864bbc9c285a569a4905ff53e01fc1f70751b6211ab4f9fb004df8
  • ebf4cb250956fe4cb5dc6aac608c97783a0850c4c3e86925aef6b37726c056ed
Комментарии: 0
Похожие записи
0
14 часов
IOC

Китайская группа электронных преступников атакует более 121 страны и представляет новый набор для банковского фишинга

security
Анализ Smishing Triad, китайской электронной преступной группировки, показывает, что она проводит SMS-фишинговые кампании в различных отраслях более чем в 121 стране.
0
4 дня
IOC

Mamont Trojan IOCs - Part 2

remote access Trojan
Недавно СМИ сообщили об аресте подозреваемых в распространении вредоносного приложения для Android, известного как Mamont. Это приложение использовалось в фишинговой кампании, в ходе которой пользователи
0
7 дней
IOC

APT-группа ToddyCat использует уязвимость в ESET для проксирования DLL-файлов

security
Группы APT используют различные методы обхода защитных систем, чтобы скрыть свою деятельность в зараженных системах. Одним из таких методов является использование руткитов на уровне ядра в системах Windows.
0
7 дней
IOC

Lazarus расширяет вредоносную кампанию npm: 11 новых пакетов добавляют загрузчики вредоносного ПО и полезную нагрузку Bitbucket

security
Группа злоумышленников Contagious Interview, предположительно связанная с Северной Кореей и известная как Lazarus Group, продолжает свою вредоносную кампанию, расширяя свое присутствие в экосистеме npm.