Главная страница » IOC
0
8 месяцев
IOC

STAC6451 APT IOCs

security

Исследователи Sophos MDR обнаружили кластер угроз STAC6451, направленный на организации в Индии и использующий открытые серверы баз данных Microsoft SQL Server.

STAC6451

Тактика кластера включает использование SQL-серверов для несанкционированного доступа, использование утилиты BCP для размещения вредоносной полезной нагрузки, а также создание учетных записей бэкдоров для латерального перемещения и персистенции. В основном злоумышленники используют серверы баз данных MSSQL с простыми учетными данными, открытыми в Интернете, что позволяет им выполнять команды и внедрять вредоносную полезную нагрузку. Они также используют сервисы внеполосного тестирования безопасности приложений для поиска уязвимостей в веб-приложениях жертв. Злоумышленники устанавливают различные инструменты и исполняемые файлы, создают учетные записи пользователей для латерального перемещения и используют инструменты повышения привилегий, такие как PrintSpoofer и Cobalt Strike. Кроме того, они выполняют программы запуска выкупного ПО, скрипты инициализации и устанавливают командно-контрольные соединения с помощью уникального загрузчика Cobalt Strike. Злоумышленники демонстрируют мастерство в разработке вредоносного ПО и создании инфраструктуры, используя методы обфускации и библиотеки с открытым исходным кодом для обхода памяти. Этот кластер остается активной угрозой, нацеленной на различные секторы Индии, с умеренным уровнем изощренности в методах атак.

Indicators of Compromise

IPv4

  • 194.26.135.76
  • 80.66.76.30
  • 91.203.134.122

Domains

  • times.windowstimes.online

URLs

  • https://jobquest.ph

SHA256

  • 04ba9dd2d3127511af52e1be3015e0424491cfb2133f90f8b5b5cac2e33166d4
  • 0964ec866b24eea67c8e7b11060acbf9455e182d0ff97987114c291d29e54f73
  • 27527809c3a2219f20dbf8b33662eb488c0d32e978d1401fcbe912e8c267128a
  • 4e5ec0db67045bdc008e949214bea81a5d1e4c1e0de211159f0e9d7d33ecbf7a
  • 549a883cb3d923eb0b45248d6f46bd2859a3265f203e6019f3e4b9df6c9f9813
  • 558147caa20eddf708986e89d7f000809025c5ade03fda1f352dba513e8f1454
  • 73de5c6390f26133f20208367c4398798fd4dc1e9986bdfb7fea9288f4f53efa
  • 804de08fb28dcae51efca2960de3dc9460114fc8d376ad6a966144cb55aa9f75
  • 81423f5454208e958aa183c2850809620676485c63aab07d91a6f85c1d9b4e72
  • 89672638152c13d10ae8afa03df7798081d025939bcfae354e8540cdda2cf16a
  • a4e1a5b1489b316064f083c4cd7bfc83b70ee4684a4d97d1ad1c4e6d648161a3
  • ae7031dfae21616d7eec326c16ebac7f9d911a354ba32dd4b4c458fe50351805
  • cdb0c28ec03ffbf66309d74d537b8157161cf775ee00a49398e97e4bf735d7d9
  • d04904e32b5cb0f9b559855fac81d62c6ad0472dc443be02f08b6fe4a7d56f71
  • d13b43518d0ed2fe938e186eb218debd15022b9803c0d330363ca40830db9a77
Комментарии: 0
Похожие записи
0
7 часов
IOC

EncryptHub APT IOCs - Part 2

security
Угроза EncryptHub обнародована, когда команда разведки угроз KrakenLabs и Outpost24 провели исследование о его деятельности. EncryptHub стал все более популярным и развивающимся киберпреступником.
0
2 дня
IOC

Партнеры Qilin атаковали администратора MSP ScreenConnect, нацеливаясь на клиентов.

security
В январе 2025 года администратор поставщика управляемых услуг (MSP) получил фишинговое письмо, представлявшее собой предупреждение об аутентификации для удаленного мониторинга и управления (RMM) инструмента ScreenConnect.
0
3 дня
Articles

Практические проблемы атрибуции APT в случае с подгруппой Lazarus

security
Lazarus- это название, относящееся не к одной атакующей группе, а к совокупности многих подгрупп. Это название первоначально относилось к деятельности одной группы или группы очень ограниченного размера