Главная страница » IOC
0
11 месяцев
IOC

TargetCompany APT IOCs

security

В ходе мониторинга атак на серверы MS-SQL, аналитический центр AhnLab Security обнаружил новые случаи установки вредоносного ПО Mallox группой, известной как TargetCompany. Эта группа специализируется на вымогательстве и использует неправильно настроенные серверы MS-SQL для установки Mallox. В статье рассматривается связь между этим новым вредоносным ПО и предыдущими атаками, связанными с распространением Tor2Mine CoinMiner и BlueSky ransomware.

Атаки группы TargetCompany направлены на неправильно управляемые серверы MS-SQL, и предполагается, что они используют грубую силу и атаки по словарю для взлома этих серверов. После взлома учетной записи SA они устанавливают Remcos RAT, вредоносную программу для удаленного управления системой. С помощью Remcos RAT, участники группы получают доступ к зараженной системе. В одной из атак, предположительно спустя 29 часов после взлома, группа пытается установить вымогательское ПО Mallox для шифрования системы.

Remcos RAT - это коммерческое средство удаленного администрирования, которое также может использоваться для вредоносных целей, таких как кейлоггинг, захват скриншотов и извлечение паролей из системы. Оно часто распространяется через спам-письма или маскируется под другие программы. Remcos RAT используется в атаках на неправильно управляемые серверы MS-SQL, иногда вместе с Cobalt Strike для контроля за зараженными системами.

В новой атаке группа TargetCompany использовала Remcos RAT для установки дополнительного вредоносного ПО, включая программу AnyDesk, позволяющую удаленно управлять системой через добавленные учетные записи пользователей. Она также загружает строку с адреса C&C-сервера для добавления учетной записи пользователя и ее регистрации в группе администраторов. Однако на момент анализа связь с C&C-сервером не была установлена.

В целом, атаки группы TargetCompany на серверы MS-SQL продолжаются уже несколько лет. Они используют различные вредоносные программы, включая Remcos RAT и Mallox, чтобы получить контроль над зараженными системами и шифровать их данные. Неправильно управляемые серверы MS-SQL становятся уязвимыми для таких атак, поэтому важно принять соответствующие меры безопасности, чтобы защитить свои серверы и данные от атак.

Indicators of Compromise

IPv4 Port Combinations

  • 80.66.75.238:3388

URLs

  • http://42.193.223.169/extensioncompabilitynode.exe
  • http://91.215.85.142/QWEwqdsvsf/ap.php
  • https://5.188.86.237:3030
  • https://80.66.75.238:3030

MD5

  • 09b17832fc76dcc50a4bf20bd1343bb8
  • 20dd8410ff11915a0b1f4a5018c9c340
  • 3297dc417cf85cfcea194f88a044aebd
  • 52819909e2a662210ab4307e0f5bf562
  • ff011e8a1d1858f529e8a4f591dc0f02
Комментарии: 0
Похожие записи
0
8 часов
IOC

BeaverTail и Tropidoor распространялись через рекрутинговые письма

security
В ноябре 2024 года был раскрыт случай распространения вредоносных программ BeaverTail и Tropidoor через рекрутинговые электронные письма, где злоумышленники выдавали себя за рекрутеров из сообщества разработчиков Dev.
0
8 часов
IOC

EncryptHub APT IOCs - Part 2

security
Угроза EncryptHub обнародована, когда команда разведки угроз KrakenLabs и Outpost24 провели исследование о его деятельности. EncryptHub стал все более популярным и развивающимся киберпреступником.
0
8 часов
IOC

Злоумышленники используют налоговый сезон для развертывания фишинговых кампаний на налоговую тематику

phishing
В преддверии Дня налогов в США 15 апреля компания Microsoft обнаружила несколько фишинговых кампаний, которые используют налоговую тематику для социальной инженерии с целью кражи учетных данных и внедрения вредоносного ПО.