Главная страница » IOC
0
6 месяцев
IOC

Rekoobe Backdoor IOCs - Part 2

security

Недавнее расследование показало наличие в открытых каталогах Rekoobe, бэкдора, изначально использовавшегося APT31 (Violet Typhoon).

Содержание
  1. Rekoobe Backdoor
  2. Indicators of Compromise
  3. IPv4
  4. Domains
  5. SHA256

Rekoobe Backdoor

Rekoobe, частично основанный на Tiny SHell, получил усовершенствованное шифрование и уникальные настройки команд и управления, что затрудняет его обнаружение. Исследователи обнаружили два образца Rekoobe в открытом каталоге, связанном с IP-адресом 27.124.45[.]146, где были обнаружены двоичные файлы вредоносного ПО, помеченные в соответствии с архитектурой и датой. Эти файлы пытались соединиться с сервером хостинга через определенный порт, следуя шаблонам, встречающимся в других вредоносных программах Rekoobe.

Дальнейший анализ выявил несколько похожих доменов, имитирующих популярный веб-сайт TradingView, что говорит о возможных фишинговых попытках, направленных на финансовое сообщество. В этих доменах наблюдаются незначительные типографские вариации, возможно, предназначенные для социальной инженерии или фишинговых атак. Хотя активного контента не было обнаружено, совпадение этих доменов с активностью Rekoobe позволяет предположить наличие скоординированной кампании.

В ходе расследования были обнаружены и другие серверы в той же гонконгской инфраструктуре, использующие общие SSH-ключи, что усиливает предположение о более широкой вредоносной структуре. Кроме того, на одном из серверов был обнаружен инструмент безопасности Yakit, известный как легитимный red-teaming, что ставит под сомнение возможность его использования в данном контексте. В совокупности эти находки свидетельствуют о потенциально масштабной вредоносной операции, направленной на финансовые платформы и требующей дальнейшего изучения.

Indicators of Compromise

IPv4

  • 27.124.45.146

Domains

  • 390698.ru
  • 49246.sx
  • 56204.sx
  • 70332.club
  • 734439.com
  • 836833.cc
  • 94783.club
  • 953388.cc
  • 963388.cc
  • admin.tradingviewll.com
  • admin.tradingviewlll.com
  • tradingviewll.com
  • tradingviewlll.com

SHA256

  • 28382231cbfe3bf7827c1a874b3d7f18717020ced516b747a2a1bb7598eabe0b
  • a1c0b48199e8a47fe50c4097d86e5f43a1a1c9a9c1f7f3606ffa0d45bb4a2eb3
Комментарии: 0
Похожие записи
0
4 дня
IOC

Shedding Zmiy использовал руткит Puma для атаки на IT-компанию

security
В ноябре 2024 года специалисты Solar 4RAYS были вызваны для расследования инцидента в одной из IT-компаний. В ходе расследования выяснилось, что на связь выходили известные C2, принадлежащие группе Shedding Zmiy.
0
8 дней
IOC

Кибератака на ViPNet: злоумышленники использовали бэкдор для похищения файлов

security
Компания ViPNet, разработчик программного обеспечения, подтвердила факт сложной целевой атаки на различные крупные организации в России, в том числе государственные, финансовые и промышленные.
0
26 дней
IOC

Latrodectus Backdoor IOCs - Part 15

security
Unidentified 111 (он же: Latrodectus, BLACKWIDOW, Latrodectus, Lotus) - впервые обнаруженный в октябре 2023 года BLACKWIDOW представляет собой бэкдор, написанный на языке C, который взаимодействует по