Главная страница » IOC
0
9 месяцев
IOC

ТА558 APT IOCs

security

Аналитики F.A.C.C.T. Threat Intelligence зафиксировали более 1 000 фишинговых писем с вредоносным ПО, нацеленных на организации в России и Беларуси. Эти письма были направлены на предприятия, государственные учреждения и банки с целью получения доступа к внутренним системам и кражи данных.

ТА558 APT

Эти атаки были приписаны киберпреступной группе TA558, которая активна с 2018 года. Группа использует различные приемы социальной инженерии и многоступенчатые фишинговые атаки для внедрения вредоносного ПО на компьютеры своих жертв. Они также используют приемы стеганографии и вредоносные файлы с определенными названиями.

Большинство фишинговых писем содержат вредоносную программу Agent Tesla или Remcos (VPO), которые позволяют злоумышленникам получить доступ к системам жертв и осуществлять различные действия, включая кражу данных. Однако, система защиты F.A.C.C.T. Managed XDR блокирует все вредоносные электронные письма, отправленные их клиентам.

TA558 известна своими многоступенчатыми атаками, начинающимися с фишинговых писем, содержащих вредоносные документы Microsoft Office. Они также изменяют свои тактики и процедуры, чтобы избежать обнаружения и затруднить анализ своей деятельности. Группа была изначально нацелена на Латинскую Америку, но в последнее время они расширили географию своих атак.

В исследовании было обнаружено, что злоумышленники перемещали свой домен bcmsrll[.]com между различными хостами в течение нескольких месяцев. Они использовали почтовый сервер AutoSMTP для отправки фишинговых писем с этого домена. Большинство писем были отправлены на разных языках, включая русский, английский, турецкий, румынский и IT.

Indicators of Compromise

IPv4

  • 139.144.212.135
  • 172.232.163.207
  • 172.232.170.236
  • 172.232.172.123
  • 172.232.172.53
  • 172.232.189.152
  • 172.232.189.7
  • 172.232.4.203
  • 172.233.129.114
  • 172.234.217.97
  • 172.235.133.243
  • 45.56.102.63
  • 45.74.19.84
  • 45.79.137.187
  • 70.34.197.128
  • 75.102.51.237

Domains

  • abspedition.icu
  • akcalogistics.shop
  • automaxtool.me
  • baltictransline.store
  • biatr.ooguy.com
  • executivesship.com
  • hdvysy.com
  • laceys.icu
  • maximum.icu
  • midae.com
  • naft-dz.shop
  • pluse-tr.com
  • vervo.lat

URLs

  • bot.ax/hNZdz
  • en0.de/serverrrrr
  • isols.co/zXTgU
  • l-to.com/ru7285wa
  • pagamento.docx
  • paste.ee/d/0aXad
  • paste.ee/d/5nJBg
  • paste.ee/d/62kvY
  • paste.ee/d/7tUhO
  • paste.ee/d/Noi6G
  • paste.ee/d/oDnyo
  • paste.ee/d/Pz2XE
  • paste.ee/d/S8WBJ
  • paste.ee/d/spi57
  • paste.ee/d/tggWc
  • paste.ee/d/VkPF6
  • paste.ee/d/wsePT
  • qr-in.com/HDYwZbx
  • shtu.be/e79171
  • tau.id/0vzd8
  • tau.id/34x8c
  • tau.id/c9izr
  • tau.id/y3kre
  • tau.id/ze87s
  • tt.vg/IsjCX
  • tt.vg/PqPsi
  • wallpapercave.com/uwp
  • ye.pe/0y2k

MD5

  • 0d0f500d82551e733eab0fb1060a49da
  • 10af82086385c6a2514d222753184317
  • 11f0c45a84392c11e8d276dc6cfb429a
  • 123ba210c4bf018520399cb6e5dd48d8
  • 1832d5dcd354aacfcf9a8e15b2b18311
  • 1eb3ca66ec1151e2a58284ccf4e1d7c7
  • 277f8f8a7b767860a8e7bf1aeaa1fd6a
  • 368188588ec06a0096f2430a2f98001e
  • 49a3ee37781cac92181f0c1c80e5fb0d
  • 4a677fc6b7305b4eace2b00ac978fb76
  • 656b3681763db100b7ea580d97a16983
  • 87eabdd9eaf85ac612cc32db307462a1
  • 8a10bef8547c837c442a585e36e2370d
  • 8f82df8963d12e63c11d24991271c888
  • 9818f83f09da7f225a28153ad607e821
  • db896eece25221a79210eecac8d05822
  • e035324087c878d26291105f711f1a2b
  • e1424a6dc9fa951366f2996cd537dd02
  • f78f79a9955725001e502d0946eb3d00
  • f83f9fd222724c38642f889e4bff6dbc
  • fa8159d551c83cd7d529dcd3a7476961
  • ff3acc46bc2eaeccd03be2ff5fc3d0ec

SHA1

  • 094626fb8ec66ae99ce6157fbe321d114e7fbbf8
  • 1e9af5dd484358b007673b0d7f9b85f8ac1a7b6c
  • 205aa52dc1b466bb0ff5f5976288aa84e02b94e7
  • 3993bebae6d4c5c0b0e494472f8f3973367d7f39
  • 3a2a02046c5ae2b4cd82b425890e198f41adf11a
  • 64142b293363c2a23cbda456023c9fce51b31333
  • 6d6d1889835319c81e546728d4ec6f965ece85f0
  • 726afc25dbac5004232d28a2b83deb7603e6b375
  • 76641a0aace92c72654df9b16961d2c09ab25352
  • 83b79761ce29359817d147e56529f520b0fdcdd8
  • 86c9cf7d6085507f03c2dcb8d719e43e099c1309
  • 8bd40194c741c9ac9ee50c348981edca15a5519d
  • 925fe336bbc98797e3efcbddc39695b7b0de5534
  • 967bf96dfb11dee4e1d711c809f8c9fedc29fa69
  • c049a051e51692f7ae82326c66a7d2a37a1d7054
  • c709d65418d77978053aa54a33ca5829cea85d95
  • cbd16f778666a312e141fdb1127e3ad8dc7b1712
  • df565f479665be322b27cb32cbd0eb513d0290ba
  • e02e7147bfb77619291fa222bda9bb3ce4761468
  • eb3c3c80485ec3a6cd10538afe94ff0065d5d7e3
  • fbb32ef65e661cf82b3f539ee61cc5d2dade191b
  • fc965d88d8ec2f49008f93a7e906fde10cb0b947

SHA256

  • 041c9c4e5242464f8661c6f611da14041447b368e7ff669e5de89e9f805ba486
  • 079de6fa0a294bbab99ca481e03e5d0360cdfae1ab41ffd7cc37a92d7bcc25a1
  • 0f9a81081fd7ff58c83c78bcfa4735556fd3ad823f917fe28787085f2d309336
  • 110502c15e51f07fe6aff0b0a28d128d60a1eb51df09a2b9fb2db0775fe92f28
  • 18b8e4782b590141ff10ecde5b76bd1e35d99890a517741ac71408a478a56a81
  • 295aef7c1199c1f1ed7d487694e977ec858c5819140ed09808e175fcc49472f0
  • 32562e2a917d9827d3f24ac715a6af7468d627594c90126641349d25b735234f
  • 383ee0319fade807fd02f12a92d4f2b98ba7137f27212b996f3cc9bd88f278ac
  • 4cc7a5fe2d2ffafda3791f0e9cced8f7fe430b598551c2a9277210e87e6df53b
  • 4d97a5069b154b2e95af235dd32c82c1bf5b2e4cf2d188067da223f488ebaa48
  • 55f02d8a8f8fe958eeb020593b48d25c86238bd2a7746b9c7b7e4afa9e88c315
  • 6b19f6c758c0b626d1319314e9679d55701e156a9642409e8899a1e7d6a20026
  • 8d12cfdb1376c99139b8dba94a0c02357bf7652b763d6313d70dde912266905f
  • 91a14852328b337a5aa1046bc7f92448f2c0a3c2ec5a8a76729de68521fa2a39
  • a2d5c106ced87a5771490d95bc20c385f8ae49f7e8448b2e68a3c6bf0d96d03b
  • bc46b7b44928f6ad586d787db33f53ed962aab72441a5518efb3e971d36a40e2
  • c0e49a1256f7e6b66607f2440219ce5e684bd591fc1fb7c64b90e9b9218374a9
  • d5e214f3096564dfc3e348b6a3ac6aeefed75d785ac7cfab5d3019f67fdbc9be
  • e2ee9ac33c1e07a99f8cc6044f0a7b830e892fbfbfd7d6e8db916707e9c34035
  • ea17ccf4bf55f23b8a93f8e17e470be440211f463d5b7e01958843c8c160f765
  • eecb89aaf97fa8333c2c56c16e3905b2b2764271d7f7944bc71a8aba64d2906c
  • fda7e2d7a3ee70355988afc70ee4d6ebf08b76ef38f4504aa1cf5f8fa9a99b2e
Комментарии: 0
Похожие записи
0
3 дня
IOC

APT-группа ToddyCat использует уязвимость в ESET для проксирования DLL-файлов

security
Группы APT используют различные методы обхода защитных систем, чтобы скрыть свою деятельность в зараженных системах. Одним из таких методов является использование руткитов на уровне ядра в системах Windows.
0
3 дня
IOC

Lazarus расширяет вредоносную кампанию npm: 11 новых пакетов добавляют загрузчики вредоносного ПО и полезную нагрузку Bitbucket

security
Группа злоумышленников Contagious Interview, предположительно связанная с Северной Кореей и известная как Lazarus Group, продолжает свою вредоносную кампанию, расширяя свое присутствие в экосистеме npm.
0
7 дней
IOC

EncryptHub APT IOCs - Part 2

security
Угроза EncryptHub обнародована, когда команда разведки угроз KrakenLabs и Outpost24 провели исследование о его деятельности. EncryptHub стал все более популярным и развивающимся киберпреступником.
0
9 дней
IOC

Партнеры Qilin атаковали администратора MSP ScreenConnect, нацеливаясь на клиентов.

security
В январе 2025 года администратор поставщика управляемых услуг (MSP) получил фишинговое письмо, представлявшее собой предупреждение об аутентификации для удаленного мониторинга и управления (RMM) инструмента ScreenConnect.