Прослеживание пути от SmartApeSG до NetSupport RAT

Исследование данных интернет-телеметрии привело к обнаружению связанных узлов управления C2, активных серверов NetSupport RAT и наличия связей с подозрительной инфраструктурой.

Описание

Установлено, что существует связь между кластерами SmartApeSG и NetSupport RAT, включая общие характеристики в деятельности и перекрывающиеся компоненты.

Подробности об исследовании начинаются с отслеживания инфраструктуры SmartApeSG, где обман пользователей позволял развернуть NetSupport RAT. Затем анализируются IP-адреса молдавских хостов, которые, вероятно, используются для управления C2. Один из серверов прослушивал RDP-трафик, а другой - несколько разных портов, включая RDP и сертификаты X.509 с определенными именами. Дополнительно описывается активность TCP/1500, которая была связана с этими хостами.

Активный кластер NetSupport RAT включает несколько старых C2-серверов, некоторые из которых продолжают получать сообщения от жертв. Были обнаружены новые IP-адреса и домены, связанные с инфраструктурой NetSupport RAT, а также связи между NetSupport RAT C2 и Quasar RAT C2.

Также обнаружены связи между NetSupport RAT и Quasar RAT.

Indicators of Compromise

IPv4

185.153.183.59
45.67.35.101
45.8.145.132
5.181.159.111
5.181.159.113
5.181.159.119

Domains

23mtkro.cn
allenew1.com
asdgelvasd.icu
asdsrjhegrhj.xyz
comparegjs.com
dgdsrzzw45tg.cn
dsfygfnb3.icu
duvje6egvuas.com
dvtrstrhdbcvbxr.xyz
e3ubj753ifg.xyz
fdoshbjdo.icu
fufvnasie.icu
gfu6nfmgnm86gm.xyz
gjuauyfhjha.cn
gkdkr.icu
gsdgtruhu45.cn
huntaget.cn
isaydiuaysoidalkspw.com
jintsung.cn
jkhmzxvidfyidu.xyz
mgsubneu4hgba.xyz
mixuvvvjsurub.cn
moreeu.cn
msguguudfh4.xyz
nfdsnvuusds7d64jg.cn
recsfgsfxvdgr.xyz
ruhvsvya.icu
safvyhgdrsdfhd.xyz
sasfyvuaseyzzs.cn
sasygzsu4zusaty.cn
scheduleyaraupd2.cn
sdfojbeufibibsuu8u.cn
sdgn446yhd.cn
sdjbizirebz.cn
sertte56gzxes.cn
sevndgkhkidgr.xyz
sidfbuz8egozs.cn
ssdghgrehndx.cn
tojh5roh4.top
torpoa.cn
tripdsbeacgsa43wes.xyz
u4snvsrtvlrui.xyz
u55fbwiubyuere.xyz
usjnvovoo4.net
zjdhduv.com
zytjbgev.icu