Главная страница » IOC
0
6 месяцев
IOC

SloppyLemming APT IOCs

security

Cloudforce One выпустила отчет, в котором подробно описывается деятельность SloppyLemming, злоумышленника, который был замечен в воздействии на организации в странах Южной и Восточной Азии в рамках обширной кампании по шпионажу.

SloppyLemming APT

SloppyLemming, также отслеживаемая CrowdStrike как OUTRIDER TIGER, известна тем, что использует провайдеров облачных услуг для сбора учетных данных, доставки вредоносного ПО и деятельности по командованию и контролю (C2). Группа часто использует открытые фреймворки для эмуляции противника, такие как Cobalt Strike и Havoc.

Cloudforce One отмечает, что операции группы демонстрируют низкий уровень операционной безопасности, что позволяет Cloudforce One получить представление об их инструментах и тактике. Ключевым направлением их деятельности является сбор учетных данных, что часто достигается с помощью фишинговых писем, которые ведут жертв на поддельные страницы входа, размещенные на вредоносных Cloudflare Workers. Группа использует инструмент под названием CloudPhish для сканирования HTML-содержимого страниц входа в систему и регистрации украденных учетных данных через Discord.

Помимо фишинга, SloppyLemming были замечены в сборе токенов Google OAuth и использовании вредоносного ПО. Например, они использовали Dropbox для размещения вредоносных RAR-файлов, использующих уязвимости WinRAR, в частности CVE-2023-38831. Эти файлы содержат исполняемые файлы, которые разворачивают инструменты удаленного доступа (RAT), позволяя группе сохранять долгосрочный доступ к взломанным системам.

Операции SloppyLemming по сбору учетных данных в основном направлены на организации в Пакистане, в основном в таких секторах, как правительство, транспорт, образование, технологии и энергетика. Примечательно, что группа проявляет особый интерес к пакистанским правоохранительным органам и организациям, связанным с ядерной энергетикой страны. За пределами Пакистана деятельность SloppyLemming распространяется на правительственные и военные организации в Шри-Ланке и Бангладеш, а также на китайские энергетические и научные круги.

Indicators of Compromise

IPv4

  • 139.59.109.136
  • 142.93.139.164
  • 149.28.153.250
  • 159.253.120.25
  • 159.65.6.251
  • 185.249.198.218
  • 207.148.73.145
  • 208.85.22.252
  • 37.27.41.167
  • 45.137.116.8
  • 47.236.65.190
  • 47.237.105.113
  • 47.237.20.135
  • 47.237.20.201
  • 47.237.25.198
  • 47.245.114.11
  • 47.245.126.218
  • 47.245.2.77
  • 47.245.42.208
  • 47.245.56.29
  • 47.254.229.56
  • 47.74.84.168
  • 47.74.87.155
  • 47.76.181.76
  • 47.76.61.241
  • 47.83.23.246
  • 8.219.114.124
  • 8.219.169.226
  • 8.222.235.145

Domains

  • 168-gov.info
  • accounts.opensecurity-legacy.com
  • acrobat.paknavy-pk.org
  • adobefileshare.com
  • aljazeerak.online
  • api.opensecurity-legacy.com
  • bin.opensecurity-legacy.com
  • blabla.apl-com.icu
  • browser.apl-org.online
  • cflayerprotection.com
  • cloud.adobefileshare.com
  • cloud.cflayerprotection.com
  • cloudlflares.com
  • crec-bd.site
  • data.cloudlflares.com
  • dawn.apl-org.online
  • docs.apl-com.icu
  • fonts.apl-org.online
  • frontend-m.opensecurity-legacy.com
  • helpdesk-lab.site
  • hesco.hascolgov.info
  • hit-pk.org
  • hurr.zapto.org
  • itsupport-gov.com
  • jammycanonicalupdates.cloud
  • locaal.navybd-gov.info
  • localhost.apl-com.icu
  • locall.hascolgov.info
  • login.apl-org.online
  • m.opensecurity-legacy.com
  • mail.apl-com.icu
  • mail.pakistangov.com
  • maldevfudding.com
  • monitor.opensecurity-legacy.com
  • mozilla.apl-org.online
  • new.apl-org.online
  • oil.hascolgov.info
  • openkm.paknavy-pk.org
  • opensecurity-legacy.com
  • owa-spamcheck.apl-org.online
  • paknavy-pk.org
  • pitb.gov-pkgov.workers.dev
  • quran-books.store
  • redzone.apl-org.online
  • redzone2.apl-org.online
  • secure.cflayerprotection.com
  • secure.cloudlflares.com
  • sensors.opensecurity-legacy.com
  • static.opensecurity-legacy.com
  • update.apl-org.online
  • updpcn.online
  • www.168-gov.info
  • www.cloudlflares.com
  • www.crec-bd.site
  • zero-berlin-covenant.apl-org.online

SHA256

  • 06f82a8d80ec911498e3493ebefa8ad45e102dd887ce2edc11f8f51bafab2e80
  • 3dfb8d198de95090e2ad3ffc9d9846af5c3074563acb0ce5b0ef62b20e4bf432
  • 82e99ceea9e6d31555b0f2bf637318fd97e5609e3d4d1341aec39db2e26cf211
  • ac3dff91982709f575cfbc6954b61130b4eeab5d3759772db220f1b76836be4d
  • b6ae5b714f18ca40a111498d0991e1e30cd95317b4904d2ef0d49937f0552000
Комментарии: 0
Похожие записи
0
7 часов
IOC

APT37 - RokRat

security
APT37, также известная как ScarCruft, Reaper и Red Eyes - северокорейская хакерская группировка, спонсируемая государством и действующая с 2012 года. Изначально ее деятельность была сосредоточена на правительственном
0
7 часов
IOC

Squid Werewolf APT IOCs

security
В ходе недавней кибератаки злоумышленники использовали фишинговую электронную почту, чтобы атаковать ключевых сотрудников одной из промышленных организаций. Обнаруженная в декабре 2024 года экспертами BI.
0
1 день
IOC

Blind Eagle APT IOCs

security
Группа APT-C-36, известная также как Blind Eagle, продолжает активно атаковать колумбийские учреждения и правительственные структуры, используя уязвимость CVE-2024-43451, которая была исправлена Microsoft 12 ноября 2024 года.
0
1 день
IOC

SideWinder нацелилась на морской и ядерный секторы

security
APT-группа SideWinder продолжает активно расширять свою деятельность в морском и ядерном секторах, используя обновленный набор инструментов. В прошлом году исследователи обнаружили, что группа заражает