Главная страница » IOC
0
6 месяцев
IOC

RedEyes APT IOCs

security

Команда исследования угроз Securonix выявила продолжающуюся кибер-кампанию под названием SHROUDED#SLEEP, которая, судя по всему, проводится северокорейской группой APT37.

RedEyes (APT37) APT

Эта кампания направлена на страны Юго-Восточной Азии, в первую очередь на Камбоджу. Злоумышленники используют передовые методы уклонения для доставки VeilShell, скрытного вредоносного ПО на базе PowerShell. Первоначальное заражение происходит через фишинговые письма, содержащие zip-файлы с вредоносными ярлыками (.lnk), замаскированными под легитимные документы.

После нажатия на ярлык запускается сценарий PowerShell, который извлекает и декодирует несколько полезных нагрузок, включая вредоносный DLL-файл (DomainManager.dll), который помещается в папку запуска для обеспечения устойчивости. Вредоносная программа не запускается до следующей перезагрузки системы, что делает ее еще более скрытной. Злоумышленники также используют такие приемы, как перехват AppDomainManager, для сохранения устойчивости и используют безфайловые методы, чтобы избежать обнаружения средствами безопасности.

Бэкдор VeilShell предоставляет злоумышленникам полный контроль над зараженными машинами, позволяя выполнять такие действия, как утечка файлов, модификация реестра и создание запланированных задач. Эта сложная операция отличается методичным подходом, включая длительное время сна для обхода эвристических обнаружений, и использованием легитимных процессов Windows для выполнения команд.

Indicators of Compromise

IPv4

  • 172.93.181.249
  • 208.85.16.88

URLs

  • https://jumpshare.com/view/load/crjl6ovj7HVGtuhdQrF1
  • https://jumpshare.com/viewer/load/zB564bxDA3yG8PnFR90I

SHA256

  • 106c513f44d10e6540e61ab98891aee7ce1a9861f401eee2389894d5a9ca96ef
  • 4e8b6deccdfc259b2f77573aef391953ed587930077b4edb276dbbb679ef350b
  • 50bf6fdbff9bfc1702632eac919dc14c09af440f5978a162e17b468081afbb43
  • 55235bc9b0cb8a1bea32e0a8e816e9e7f5150b9e2eeb564ef4e18be23ca58434
  • 6b95bc32843a55da1f8186aec06c0d872cac13d9df6d87114c5f8b7277c72a4f
  • 7e9f91f0cfe3769df30608a88091ee19bc4cf52e8136157e4e0a5b6530d510ec
  • 913830666dd46e96e5ecbecc71e686e3c78d257ec7f5a0d0a451663251715800
  • 9d0807210b0615870545a18ab8eae8cecf324e89ab8d3b39a461d45cab9ef957
  • af74d416b65217d0b15163e7b3fd5d0702d65f88b260c269c128739e7e7a4c4d
  • beaf36022ce0bd16caaee0ebfa2823de4c46e32d7f35e793af4e1538e705379f
  • cfbd704cab3a8edd64f8bf89da7e352adf92bd187b3a7e4d0634a2dc764262b5
Комментарии: 0
Похожие записи
0
3 дня
IOC

EncryptHub APT IOCs - Part 2

security
Угроза EncryptHub обнародована, когда команда разведки угроз KrakenLabs и Outpost24 провели исследование о его деятельности. EncryptHub стал все более популярным и развивающимся киберпреступником.
0
5 дней
IOC

Партнеры Qilin атаковали администратора MSP ScreenConnect, нацеливаясь на клиентов.

security
В январе 2025 года администратор поставщика управляемых услуг (MSP) получил фишинговое письмо, представлявшее собой предупреждение об аутентификации для удаленного мониторинга и управления (RMM) инструмента ScreenConnect.
0
6 дней
Articles

Практические проблемы атрибуции APT в случае с подгруппой Lazarus

security
Lazarus- это название, относящееся не к одной атакующей группе, а к совокупности многих подгрупп. Это название первоначально относилось к деятельности одной группы или группы очень ограниченного размера