SloppyLemming: новая угроза для организаций Южной и Восточной Азии

Согласно исследованию, SloppyLemming активно использует облачные сервисы для сбора учетных данных, распространения вредоносного ПО и управления своими атаками через командно-контрольные (C2) серверы. Особенность этой группы заключается в применении популярных фреймворков для кибершпионажа, таких как Cobalt Strike и Havoc, что делает их атаки более эффективными и сложными для обнаружения. Однако аналитики отмечают, что злоумышленники допускают ошибки в операционной безопасности, что позволяет экспертам по кибербезопасности глубже изучить их тактики и инструменты.

Одним из основных методов атак SloppyLemming является фишинг. Преступники рассылают жертвам письма с поддельными ссылками, ведущими на фальшивые страницы входа, размещенные на Cloudflare Workers. Для автоматизации процесса кражи учетных данных они используют инструмент CloudPhish, который сканирует HTML-код страниц входа и передает украденные данные через Discord. Этот инструмент значительно упрощает масштабирование атак и повышает их эффективность.

Помимо фишинга, группа активно собирает токены аутентификации Google OAuth, что позволяет им обходить многофакторную аутентификацию и получать доступ к корпоративным аккаунтам. Еще одним опасным инструментом в их арсенале является эксплуатация уязвимости WinRAR (CVE-2023-38831). Злоумышленники размещают вредоносные RAR-архивы на платформе Dropbox, которые при открытии запускают исполняемые файлы, развертывающие вредоносные программы удаленного доступа (RAT). Это дает SloppyLemming долгосрочный контроль над зараженными системами.

География атак SloppyLemming охватывает ключевые организации в Пакистане, включая государственные учреждения, транспортные компании, образовательные и технологические центры, а также энергетический сектор. Особый интерес злоумышленники проявляют к пакистанским правоохранительным органам и организациям, связанным с ядерной энергетикой. В других странах региона их цели включают военные и правительственные структуры Шри-Ланки и Бангладеш, а также китайские научные и энергетические компании.

Эксперты по кибербезопасности рекомендуют организациям из указанных регионов усилить меры защиты, включая обучение сотрудников распознаванию фишинговых атак, регулярное обновление программного обеспечения для закрытия известных уязвимостей и внедрение систем мониторинга подозрительной активности. Также важно ограничить использование сторонних облачных сервисов для хранения чувствительных данных и внедрить строгие политики проверки доступа.

Деятельность SloppyLemming демонстрирует растущую угрозу целевых кибератак на критически важные секторы экономики в Южной и Восточной Азии. В условиях роста цифровых угроз подобного масштаба международное сотрудничество в сфере кибербезопасности становится критически важным для противодействия современным киберпреступным группировкам.

IPv4

• 139.59.109.136
• 142.93.139.164
• 149.28.153.250
• 159.253.120.25
• 159.65.6.251
• 185.249.198.218
• 207.148.73.145
• 208.85.22.252
• 37.27.41.167
• 45.137.116.8
• 47.236.65.190
• 47.237.105.113
• 47.237.20.135
• 47.237.20.201
• 47.237.25.198
• 47.245.114.11
• 47.245.126.218
• 47.245.2.77
• 47.245.42.208
• 47.245.56.29
• 47.254.229.56
• 47.74.84.168
• 47.74.87.155
• 47.76.181.76
• 47.76.61.241
• 47.83.23.246
• 8.219.114.124
• 8.219.169.226
• 8.222.235.145

Domains

• 168-gov.info
• accounts.opensecurity-legacy.com
• acrobat.paknavy-pk.org
• adobefileshare.com
• aljazeerak.online
• api.opensecurity-legacy.com
• bin.opensecurity-legacy.com
• blabla.apl-com.icu
• browser.apl-org.online
• cflayerprotection.com
• cloud.adobefileshare.com
• cloud.cflayerprotection.com
• cloudlflares.com
• crec-bd.site
• data.cloudlflares.com
• dawn.apl-org.online
• docs.apl-com.icu
• fonts.apl-org.online
• frontend-m.opensecurity-legacy.com
• helpdesk-lab.site
• hesco.hascolgov.info
• hit-pk.org
• hurr.zapto.org
• itsupport-gov.com
• jammycanonicalupdates.cloud
• locaal.navybd-gov.info
• localhost.apl-com.icu
• locall.hascolgov.info
• login.apl-org.online
• m.opensecurity-legacy.com
• mail.apl-com.icu
• mail.pakistangov.com
• maldevfudding.com
• monitor.opensecurity-legacy.com
• mozilla.apl-org.online
• new.apl-org.online
• oil.hascolgov.info
• openkm.paknavy-pk.org
• opensecurity-legacy.com
• owa-spamcheck.apl-org.online
• paknavy-pk.org
• pitb.gov-pkgov.workers.dev
• quran-books.store
• redzone.apl-org.online
• redzone2.apl-org.online
• secure.cflayerprotection.com
• secure.cloudlflares.com
• sensors.opensecurity-legacy.com
• static.opensecurity-legacy.com
• update.apl-org.online
• updpcn.online
• www.168-gov.info
• www.cloudlflares.com
• www.crec-bd.site
• zero-berlin-covenant.apl-org.online

SHA256

• 06f82a8d80ec911498e3493ebefa8ad45e102dd887ce2edc11f8f51bafab2e80
• 3dfb8d198de95090e2ad3ffc9d9846af5c3074563acb0ce5b0ef62b20e4bf432
• 82e99ceea9e6d31555b0f2bf637318fd97e5609e3d4d1341aec39db2e26cf211
• ac3dff91982709f575cfbc6954b61130b4eeab5d3759772db220f1b76836be4d
• b6ae5b714f18ca40a111498d0991e1e30cd95317b4904d2ef0d49937f0552000