Главная страница » Индикаторы компрометации
0
9 часов
Индикаторы компрометации

Раскрыта многоуровневая инфраструктура хакерской кампании, связанной с КНДР

information security

Новое исследование криптовалютной атаки раскрыло сложную сеть управляющих серверов и операционные меры безопасности, используемые злоумышленниками, связанными с КНДР. Эксперты Ransom-ISAC и Bridewell провели комплексный анализ инфраструктуры, выявив уникальные отпечатки и методы сокрытия.

Описание

Кампания, первоначально обнаруженная в сентябре 2025 года, представляла собой многоэтапную атаку на среды разработки через скомпрометированные репозитории GitHub. Злоумышленники использовали перекрёстные блокчейн-техники для скрытия данных и создали устойчивую к блокировке инфраструктуру командования и управления.

Инфраструктурный анализ выявил четыре ключевых IP-адреса управляющих серверов, расположенных в Великобритании и других странах. Все серверы использовали лёгкий веб-сервер EmbedIO версии 3.5.2, который встречается всего на 300 серверах по всему миру. Кроме того, злоумышленники применяли нестандартные настройки HTTP-заголовков, включая устаревшие значения кэширования и специфические параметры Keep-Alive.

Особый интерес представляет выбор портов для управляющих серверов. Основной порт 27017 традиционно используется базами данных MongoDB, а альтернативные порты 5432 и 1433 соответствуют PostgreSQL и Microsoft SQL Server соответственно. Такой выбор портов может быть преднамеренной попыткой маскировки под легитный трафик баз данных, особенно учитывая, что целью атаки были разработчики.

Инфраструктура преимущественно размещалась в автономной системе Evoxt Enterprise (AS149440), которая предоставляет виртуальные частные серверы по всему миру. Анализ исторических данных показал 84 случая использования этой ASN различными вредоносными программами и группами угроз, включая Lazarus, Moonstone Sleet и FIN7.

Исследователи разработали несколько инфраструктурных отпечатков, которые позволили выявить три основных кластера управляющих серверов. Кластер 1, обладающий высокой степенью достоверности, включает шесть IP-адресов в сети Evoxt Enterprise. Кластер 2 средней достоверности использует инфраструктуру Clouvider Limited, а Кластер 3 низкой достоверности объединяет серверы в сетях Hetzner и OVH.

Особенностью кампании стало использование техник операционной безопасности, включая HTTP-редиректы с кодом 302 для обхода автоматического анализа. На некоторых исторических серверах исследователи обнаружили интерфейс входа с русскоязычным заголовком "Орлан 2.0", что может указывать на использование легимного программного обеспечения для классификации и защиты данных российского производства.

Анализ сертификатов RDP выявил дополнительный кластер инфраструктуры с уникальным шаблоном имён, связанный с российскими хостами. Это позволяет с умеренной достоверностью предполагать участие российских операторов на подготовительных этапах атаки.

Пересечение ключевых индикаторов с кампанией, документированной компанией Aikido, указывает на возможную связь с компрометацией пакетов NPM. Хотя точная атрибуция к конкретной группе остаётся сложной, временные рамки и географическое расположение инфраструктуры согласуются с известными операциями, связанными с КНДР.

Исследование демонстрирует растущую изощрённость киберопераций, связанных с КНДР, где традиционные техники компрометации сочетаются с инновационными методами сокрытия в блокчейне и сложной многоуровневой инфраструктурой. Ожидается, что продолжение исследования в части 4 будет посвящено отслеживанию криптовалютных транзакций и анализу финансовых потоков злоумышленников.

Индикаторы компрометации

IPv4

  • 103.179.142.121
  • 108.165.147.181
  • 136.0.11.193
  • 136.0.141.245
  • 136.0.141.91
  • 136.0.3.240
  • 136.0.3.250
  • 136.0.3.71
  • 136.0.8.169
  • 136.0.9.8
  • 142.111.77.196
  • 154.216.19.19
  • 154.81.220.233
  • 154.91.0.103
  • 155.254.60.160
  • 156.227.0.187
  • 156.227.0.60
  • 156.235.89.227
  • 156.236.76.90
  • 166.0.132.184
  • 166.88.100.85
  • 166.88.101.20
  • 166.88.114.78
  • 166.88.117.11
  • 166.88.117.240
  • 166.88.132.139
  • 166.88.132.39
  • 166.88.132.69
  • 166.88.14.137
  • 166.88.14.44
  • 166.88.14.52
  • 166.88.141.40
  • 166.88.159.187
  • 166.88.159.37
  • 166.88.194.123
  • 166.88.194.53
  • 166.88.2.184
  • 166.88.2.90
  • 166.88.35.203
  • 166.88.4.2
  • 166.88.55.54
  • 166.88.57.117
  • 166.88.61.35
  • 166.88.61.53
  • 166.88.61.58
  • 166.88.90.22
  • 166.88.95.137
  • 166.88.96.120
  • 166.88.97.138
  • 166.88.98.221
  • 166.88.99.15
  • 172.121.5.230
  • 181.117.128.64
  • 183.101.157.30
  • 191.96.53.163
  • 193.57.57.121
  • 195.122.31.246
  • 198.105.127.124
  • 198.105.127.98
  • 202.155.8.173
  • 216.173.64.63
  • 216.173.65.45
  • 223.165.6.30
  • 23.131.92.195
  • 23.26.237.117
  • 23.26.237.237
  • 23.27.12.214
  • 23.27.120.142
  • 23.27.124.91
  • 23.27.163.245
  • 23.27.168.222
  • 23.27.169.4
  • 23.27.169.64
  • 23.27.20.143
  • 23.27.201.30
  • 23.27.201.57
  • 23.27.202.27
  • 23.27.24.227
  • 23.27.24.90
  • 23.27.240.237
  • 23.27.240.252
  • 23.27.244.39
  • 23.27.48.113
  • 23.27.48.179
  • 23.27.48.4
  • 23.27.48.77
  • 34.231.213.130
  • 34.250.221.219
  • 37.27.108.244
  • 38.211.230.5
  • 38.211.230.55
  • 38.246.73.120
  • 45.129.199.127
  • 45.138.16.208
  • 45.194.27.99
  • 45.195.76.26
  • 45.195.76.82
  • 45.86.231.67
  • 5.252.178.86
  • 50.114.5.82
  • 57.128.212.19
  • 62.106.66.151
  • 78.25.108.249
  • 78.25.109.155
  • 78.25.111.63
  • 78.25.121.187
  • 78.25.122.218
  • 78.25.123.153
  • 78.25.123.240
  • 78.25.123.242
  • 78.25.123.249
  • 78.25.123.66
  • 85.239.60.213
  • 85.239.62.36
  • 85.26.218.114
  • 91.218.183.90
  • 91.242.241.117
  • 91.242.241.122
  • 91.242.241.15
  • 91.242.241.170
  • 91.242.241.174
  • 91.242.241.183
  • 91.242.241.31
  • 91.242.241.55
  • 91.99.83.196
  • 96.126.191.167

SHA256

  • 236ff897dee7d21319482cd67815bd22391523e37e0452fa230813b30884a86f
  • 24cad593f02db847d1302ee7c486d0756708521d5ae69faa9d6600dff81fd924
  • 43dc7a343649a7ce748e4c2f94bcb6064199507cfd9f064a2d462536bec1d57f
  • 6e48fe09117ead1ef2c10a3db614217184fc300ac70ee902f67510b8d0d0b0c8
  • 742016f01fa89be4d43916d5d2349c8d86dc89f096302501ec22b5c239685a20
  • 83a84588a941e463c981083555a2e7814887fa8816e7cca5af9cb7fd0b62cdac
  • 87330f64f5cd4695f2385f87c9ffffee26d5ad2637665f1cd5d7fce217770a4d
  • 897d040e5db47b806c01eb2a1a056ca49b10e0aa4985f84d2b808a121083570e
  • 908696f3ec522e846575061e90747ddf29fccab0e59364597493d72159986c60
  • 973f777723d315e0bee0fb9e81e943bb3440be7d2de7bf582419ae47479bc15d
  • a2880c2d262b4a76e64fd29a813f2446ecbd640f378714aa575bf1064b7adc29
  • a51c2b2c5134d8079f11a22bd0621d29b10e16aefa4174b516e00fa40dafde69
  • a7d7075e866132b8e8eb87265f7b7fab0e9f6dd7f748445a18f37da2e989faa3
  • ba738d8fa5ecd4b996612dde6cd4516cbe7116305661521ffcfd62d37687875d
  • be21bf4ad94c394202e7b52a1b461ed868200f0f03b3c8544984e9765c23e1e0
  • eefe39fe88e75b37babb37c7379d1ec61b187a9677ee5d0c867d13ccb0e31e30
Комментарии: 0
Похожие записи
0
25.08.2025
Индикаторы компрометации

Новая техника социальной инженерии FileFix обходит защиту Windows через браузер

information security
В июне 2025 года известный исследователь кибербезопасности MrD0x опубликовал подробный анализ новой методики социальной инженерии, названной FileFix. Этот метод представляет собой эволюцию классической
0
02.10.2025
Индикаторы компрометации

Киберпреступники Lunar Spider расширяют атаки с помощью FakeCaptcha для распространения вредоносного ПО

APT
Группа киберпреступников Lunar Spider, также известная как Gold SwathMore, активно развивает методы начального доступа, компрометируя уязвимые веб-сайты в Европе.