Главная страница » IOC
0
5 часов
IOC

Squid Werewolf APT IOCs

security

В ходе недавней кибератаки злоумышленники использовали фишинговую электронную почту, чтобы атаковать ключевых сотрудников одной из промышленных организаций. Обнаруженная в декабре 2024 года экспертами BI.ZONE Threat Intelligence, атака была связана с кластером активности Squid Werewolf.

Squid Werewolf APT

В качестве приманки для фишинговых писем злоумышленники использовали поддельные описания вакансий, присланные от имени реальной компании «Объединенный промышленный комплекс». Используя узнаваемость брендов известных организаций, злоумышленники повышают вероятность того, что получатели откроют эти письма. Пользователям важно помнить, что владелец бренда не несет ответственности за преступные действия и причиненный ущерб.

Фишинговые письма содержали актуальные темы и были предназначены для быстрого получения доступа к конфиденциальной информации в целевых организациях. Вместо документов Microsoft Word или Excel злоумышленники предпочитали использовать защищенные паролем ZIP-архивы с исполняемыми файлами, скриптами или ярлыками. Такая смена тактики свидетельствует о растущей изощренности кластеров шпионажа. Чтобы защититься от подобных атак, компаниям рекомендуется использовать современные средства обнаружения активности, такие как EDR (Endpoint Detection and Response).

Кампания начиналась с электронного письма, отправленного от имени якобы HR-специалиста Объединенного промышленного комплекса, в котором получателю предлагалось рассмотреть предложение о работе. Письмо содержало защищенный паролем ZIP-архив под названием «Job Offer.zip», при открытии которого выполнялась команда PowerShell. Эта команда выполняла ряд действий, включая копирование файлов, сохранение декодированных данных, открытие фишингового документа и запуск исполняемого файла «d.exe». Файл «d.exe» представляет собой приложение .NET, которое загружает и анализирует конфигурационный файл «d.exe.config», определяющий использование пользовательского AppDomainManager.

Indicators of Compromise

Domains

  • hwsrv-1253398.hostwindsdns.com

SHA256

  • 0601426a6da40ec9b47bab54e4ec149ba69ee58f787eea0e32d1001cab1abd04
  • 20dd93441c5e78b7adc7764c92719bed70ddb0676f707df7ea9f37d7969f4776
  • 49a2ed08930ed20cbf859ca2fe3113e64f7a305c7a03cbda284fcceb781d053b
Комментарии: 0
Похожие записи
0
5 часов
IOC

APT37 - RokRat

security
APT37, также известная как ScarCruft, Reaper и Red Eyes - северокорейская хакерская группировка, спонсируемая государством и действующая с 2012 года. Изначально ее деятельность была сосредоточена на правительственном
0
1 день
IOC

Blind Eagle APT IOCs

security
Группа APT-C-36, известная также как Blind Eagle, продолжает активно атаковать колумбийские учреждения и правительственные структуры, используя уязвимость CVE-2024-43451, которая была исправлена Microsoft 12 ноября 2024 года.
0
1 день
IOC

SideWinder нацелилась на морской и ядерный секторы

security
APT-группа SideWinder продолжает активно расширять свою деятельность в морском и ядерном секторах, используя обновленный набор инструментов. В прошлом году исследователи обнаружили, что группа заражает