Главная страница » IOC
0
7 месяцев
IOC

Patchwork APT IOCs - II

security

Cyble Labs (CRIL) обнаружили продолжающуюся кампанию атак со стороны группы Patchwork APT, которая, скорее всего, нацелена на китайские организации. В этой кампании используется новый бэкдор, который обходит механизмы обнаружения с использованием исправлений API. Изначально злоумышленники отправляют фишинговое письмо с вредоносным LNK-файлом. При открытии этого файла запускается сценарий PowerShell, который загружает безобидный PDF-файл и вредоносную DLL-библиотеку. Затем загруженная DLL расшифровывается и исполняет полезную нагрузку, которая собирает конфиденциальную информацию с компьютера жертвы и передает ее на командно-контрольный сервер.

Patchwork APT

Группа Patchwork APT известна своей высокой активностью в кибершпионаже с 2009 года. У них есть две крупные кампании, одна из которых направлена на Бутан, а другая – на китайские организации. Кампания, нацеленная на Китай, использует вредоносный LNK-файл, который ссылается на китайскую корпорацию Commercial Aircraft Corporation of China. Этот LNK-файл загружает PDF-файл с приманкой и вредоносную DLL-библиотеку. Кампания, нацеленная на Бутан, использует файл, содержащий проектное предложение от Совета Адаптационного фонда для Бутана.

В продолжающейся кампании использован LNK-файл с названием «186523-pdf.lnk». Этот файл загружает PDF-файл и вредоносную DLL-библиотеку. Вредоносная программа собирает системную информацию с компьютера жертвы и передает ее на командно-контрольный сервер. Интересно отметить, что в этой кампании отсутствуют конкретные цели, так как приманка состоит из пустого PDF-файла. Однако названия серверов полезной нагрузки указывают на то, что целью, скорее всего, являются китайские организации.

LNK-файлы, используемые в этих кампаниях, маскируются под PDF-файлы и содержат сценарий PowerShell, который загружает вредоносные компоненты. Загруженная DLL-библиотека расшифровывается и выполняет полезную нагрузку, которая собирает системную информацию и передает ее на удаленный сервер.

Indicators of Compromise

Domains

  • Iceandfire.xyz

URLs

  • https://jihang.scapematic.info/eqhgrh/uybvjxosg
  • https://shianchi.scapematic.info/jhgfd/jkhxvcf

SHA256

  • 14bbe421abe496531f4c63b16881eee23fb2c92b2938335dca1668206882201a
  • ba262c587f1f5df7c2ab763434ef80785c5b51cac861774bf66d579368b56e31
  • c3805b8b37eb1ba34057cd6c882dc9bedcebc01ec90a6d4be8d0f6fc82859ecb
  • c6398b5ca98e0da75c7d1ec937507640037ce3f3c66e074c50a680395ecf5eae
  • d7b278d20f47203da07c33f646844e74cb690ed802f2ba27a74e216368df7db9
  • f6d171e79e2fb38b3919011835c8117a1c56788bcf634e69ae67a5e255fb9d58
  • fe503708d7969e65e9437b56b6559bc9b6bb7f46f3be5022db9406579592670d
Комментарии: 0
Похожие записи
0
2 дня
IOC

Новый банковский троян TsarBot для Android, атакующий более 750 банковских, финансовых и криптовалютных приложений

Banking Trojan
Компания Cyble Research and Intelligence Labs (CRIL) обнаружила новый банковский троян для Android под названием TsarBot, который использует оверлейные атаки для атаки на более чем 750 банковских, финансовых
0
4 дня
IOC

APT-группа ToddyCat использует уязвимость в ESET для проксирования DLL-файлов

security
Группы APT используют различные методы обхода защитных систем, чтобы скрыть свою деятельность в зараженных системах. Одним из таких методов является использование руткитов на уровне ядра в системах Windows.
0
4 дня
IOC

Lazarus расширяет вредоносную кампанию npm: 11 новых пакетов добавляют загрузчики вредоносного ПО и полезную нагрузку Bitbucket

security
Группа злоумышленников Contagious Interview, предположительно связанная с Северной Кореей и известная как Lazarus Group, продолжает свою вредоносную кампанию, расширяя свое присутствие в экосистеме npm.