Главная страница » IOC
0
12 часов
IOC

Telemancon APT IOCs

security

В феврале 2025 года F6, занимающаяся мониторингом угроз, обнаружила ранее неизвестную прогосударственную группировку под названием Telemancon.

Telemancon APT

Группа была активна с февраля 2023 года и атаковала российские промышленные организации. Атаки осуществлялись с помощью самописного дроппера и бэкдора, известных как TMCDropper и TMCShell соответственно. Название Telemancon было выбрано на основе характерных признаков группы, которые включали использование сервиса telegra.ph для C2-адресов, нацеленность на промышленные организации и сохранение полезной нагрузки в папке %userprofile%\Contacts\.

Одна из выявленных рассылок была отправлена производителю военной техники и других транспортных средств. Письмо содержало вложение под названием «request5161.7z», в котором находился дроппер на языке C++ под названием TMCDropper. После выполнения TMCDropper выполнял такие задачи, как проверка выполнения в режиме отладки/песочницы, извлечение и защита бэкдора TMCShell, а также показ жертве документа-приманки. Документ-приманка сохранялся под именем %Temp%\snavmi.pdf. Подобные приманки были замечены в атаках группы Core Werewolf.

TMCDropper извлекал второй этап, TMCShell, и сохранял его под именем %userprofile%\Contacts\vyecs.aozwu. Этот файл был закреплен в системе для автозапуска с помощью ключа реестра. TMCShell представлял собой обфусцированный сценарий PowerShell, который подключался к легитимному сервису telegra.ph, используя текущую дату для URL. TMCShell анализировал ответ сервера для извлечения адреса C2 и цифровой подписи.

Анализируя бэкдор TMCShell, эксперты F6 обнаружили, что он устанавливал TCP-соединение с адресом C2 через порт 2022. Скрипт выполнял проверку сертификатов для предотвращения подделки сервера и взаимодействовал с C2, отправляя и получая данные. Полученные данные декодировались в Base64 и выполнялись как сценарий PowerShell, а результат отправлялся обратно на сервер. Эксперты обнаружили, что образец TMCShell выполнял на машине жертвы различные команды, полученные от управляющего сервера, включая получение информации о пользователе и конфигурации сети.

В другой рассылке специалисты F6 обнаружили электронное письмо, отправленное на российский завод по производству автомобилей. Письмо содержало защищенный паролем ZIP-архив, что свидетельствует о дальнейшей вредоносной деятельности группы Telemancon. Эти находки раскрывают тактику и технические детали атак группы Telemancon, проливая свет на их методы и мотивы.

Indicators of Compromise

IPv4

  • 178.208.78.11
  • 185.229.226.223
  • 188.191.147.222
  • 212.80.205.31
  • 212.80.205.9
  • 212.80.206.103
  • 212.80.206.210
  • 45.223.230.112
  • 45.60.167.209
  • 45.83.40.225
  • 45.93.94.195
  • 45.93.95.105
  • 45.93.95.91
  • 83.229.70.226
  • 83.229.70.231
  • 83.229.70.5
  • 83.229.70.6

URLs

  • https://telegra.ph/135239756800-03-02
  • https://telegra.ph/1359266484096-02-28
  • https://telegra.ph/1366278687744-03-01
  • https://telegra.ph/166019571712-02-25
  • https://telegra.ph/1821344345856-02-26
  • https://telegra.ph/336750190408-02-05
  • https://telegra.ph/336750190408-02-05-2
  • https://telegra.ph/336750190408-02-05-3
  • https://telegra.ph/427509323253-02-02
  • https://telegra.ph/427509323253-02-02-2
  • https://telegra.ph/427509323253-02-02-3
  • https://telegra.ph/428609015723-12-15
  • https://telegra.ph/590305414912-02-27
  • https://telegra.ph/791645547103-01-13
  • https://telegra.ph/791645547103-01-14
  • https://telegra.ph/904200825856-03-03
  • https://telegra.ph/973163812793-02-06
  • https://telegra.ph/973163812793-02-06-2

MD5

  • 0ab832ae8d92a1e3f979026e1a9727bf
  • 0b50e7017d1cd50212341da0803bcbb5
  • 0ca8103419fc6ec8724b429a3f03d9c0
  • 15335096f35e8446e88a3261b6d9aa76
  • 16ceee4723197d2ec65f5632e6355b5a
  • 18983d998bc63ffcc946ea8d7c69dcb7
  • 1aab01d233601c854803f502ecdcc3ba
  • 23a921ad7653ebfa0b7b820f76a4653b
  • 23f45f91b4e2dc052a21c2b36f8dfdaf
  • 2c2b2f91a14994b9543c6a08d30d1a70
  • 2f83f13cc6de29412393b18555824e52
  • 36de6bb8cd1440dc59768a61d62f1d07
  • 39ff13b2824ddd3dfa46f2c8986af78d
  • 40567288b3166c406b9dced12e61b5b3
  • 471a32ade2788b99b0c9874acbb4e90f
  • 4847a4e5e5028fcd05d37340fed53d80
  • 550e9230624cdfc53f3d41673a43a815
  • 5545400017cca3b155afac51b257f5e1
  • 58e7dfa80895967c4cb8aea7852d6c90
  • 5ba98adc42516abcafea3ec8dec4a793
  • 6110592f8ab44cb303e9215f539e4cb3
  • 68bfc6a9b0672fdac73db1261428625b
  • 6a69ff7f791a4bf20049d4b4e3015654
  • 6a8abc320a0b7d29ba41f088eef2de7f
  • 6c5224f867556d2eeb0e09ddeec36798
  • 773ba5ebe0161ee8e6eaec2f85e9e486
  • 7dde1a843d6ca2cf61ceaf9a5858d018
  • 80d9b7c4c6dd6559679a39d5b4ea2a96
  • 836f1ffd45abf3851ed9227f0a4d032a
  • 8d76242ecc5ab094f650c5c0ed1f1a5d
  • 95c0c7b879e1ec1921af3a1aaa3a8007
  • ba6173a1035a7e6253d495c58138cd04
  • bba840fc5b184a5dfd3802b3f9422972
  • bc06065d788d30962fc6954edc288e82
  • c1a977353f0bbbdcb90a96840c266a7a
  • c42c2536e3c5162242223bafc45c627f
  • c46f0a8950084374c00527c6892c49d2
  • c4b40f9a809cd43d18d7aa3e6ebcc747
  • c7b250a1826f834b589cb2de39aae107
  • c8bdad227f71285bd0b9311dd97d701d
  • c930b05ce5b1d74ae035ddfaef8884fd
  • cccf693f3aebe571a0142d7bcbdb9788
  • dbae64fa6e1d6543fae1f26332c7a5b7
  • dbdb46d7ab687c7127c4f316279436a5
  • dbfd96dde35568fa1c7a688c4e45cf52
  • df4b850dedbcbbcf3ac772709650845a
  • dfe39fb36501d39db485424591f9258c
  • e4a304c1263672a70247ea393dcd680f
  • e8b5b3f133743f61269146b515eb57dc
  • ebee9a2bf4d0324190281d5ff419116f
  • ee7b88036fceb5ff30d06050b1b80f56
  • f842e208ee6e3e1cae7df9715c7d58c2
  • fcbaaf2fada96844ccbd1da4b6741f7c

SHA1

  • 0603b3d1fccabcbef5b0192b3c874aeaa8990340
  • 0b9fb43199492b6ee46792a0c5f59bbd1e680b26
  • 139858ec8777602548ea0d2bc6f889b1a4776dd6
  • 156623f40ca42b6117aa08021b8851596c74891b
  • 17726064a31ffa3c4ee1811d6cb51c682e79d7dc
  • 190faf55411ed3daffab7ba8285a79fd24d13576
  • 1a99d893be6f25e541f30442009426b28a7fc7ef
  • 1dadf74182bcb202b97b67dfee194cbe1fb2447a
  • 23a06f39e002ba57bfeec4022e419f135c825244
  • 274b344e6f163048a3ebe3eb7ea381fd41a1e9c3
  • 291d61e77dbc8d2e9c8fb7dcbb7fd47cf3217af0
  • 29980a6d230cf4dba5223f26822b75c504a99895
  • 2b96e02ef27115fc0de7d31d473e9dc3cbc592fc
  • 32a12f50dc72a174464516e88e255a60198f1e18
  • 3f118c89d7d13ce729130357d7971ab4662bf3ee
  • 498d53e56aeefe92d3954502d741bd755275655e
  • 4ddfe7a50843d9b5c150be6b216546aeada5fb69
  • 550fd3128d72a368c02a773f79b4eead5bb2c625
  • 590532baa9bf1b14229739c79e9f146b5f4c2a40
  • 59eaa811aeebcea7fc32770ebec90c5074d7fc2f
  • 609fa015d756d8fd429847a8f6aba9d88d0a8f1d
  • 617be7440ad5e309fd19a08976f322b68de2a1c9
  • 62dc5686b9f4b37fe8ae626d3e3020c58ff98f01
  • 6579592dab96754a7feaaaff1b4ed1f9b712bfc0
  • 659e3cafe0e92d077773f7667d2c2463c3a64f53
  • 667fe4e8373381f2ccce6ba1218e7a79bdbeb32b
  • 697ea8fc323cabd08ad24112f5e576f2b544e238
  • 6edf169b975b564afd7dd12a7bfc07d7f8867685
  • 715c5f44c831d042fef10e73178b208f50a2e3b2
  • 803a1e25fb8b2859f54111ec5d046bfe1904a2e0
  • 87d3ac5d074c3da735fce6e2311d4e5cfffe62f3
  • 9766d4810d693a132710f20ea350a3cb243a3ca3
  • 98afeb3c2a2ce3b7668e625ea99de79e1ba90920
  • a01ff09897fe30f56ce262ab6ea6d176abf1179e
  • a29eea596fe9997b051a74ebb5967e0bba96be4b
  • a2d1b62905755b585906798d13d776cd54177845
  • a70f51dc2f060d426e3d1e47c44bc23b85277686
  • a924b3f10053414b4289febbadee415a99f207ce
  • b20c9870bed55cd15a9aabe4d8d38d8716ea3490
  • b53842256d3eb86988315ef1e1869919860cd726
  • bd6135177d0618c2e5dcb30d1c687d94d5410a48
  • bd76a5031f826ddee6a37313de1ca1608b8289d7
  • d4981a7347d240eedfa2671c4ec08b6dec45a030
  • d49bdeec1aea1d341fe7fd0446f441ee9c36cf8e
  • da6f8073221c38b423fa4636b66562b2370c68f2
  • e390f5a1342489c845f4a7d161a3ac5468ef7ce7
  • edba6d633ba13cd8933426ea186daa72637ae088
  • ef60f957ece00d41b544e9f7ad077a191e32b958
  • f07a0cb8c2b309d311e96fd1b701a8ca617f14cf
  • f3734ff6ab16f9433266f44d6a29534c3cdc4ff3
  • f4b6c3d0b0005b119510a68e7f580e67a6d9a128
  • f7b68fa4c5175fb10f68ef40428ee3858cff093a
  • f86020ce2f54eb48b7c1edce4b7429ddce8b8825

SHA256

  • 170b510edb38045e458103a87bf6cafdf1a9e3c1eeb54d248fa0de3951079e8f
  • 19f467a92691537545e98515c2716269fd889e3e876f75533db7d2b2e29e77a4
  • 1bd80d65ce7a1585487f9e71745ea60bf05abdc674bc3e993ae0e56855cc2134
  • 20fd45dc16c14238ae22762c6e4053dd77937621f0fc785bebbbf672e6ab9ca1
  • 21d1c2b9769308aa0c0b7a7f22771a41aa01d4570271a7de01de4ec5e37eb41e
  • 24a0f259411c6cb4cca7d6ec4242073f7fba4a3d67a52d8fd0c8822aa7a55a1e
  • 2540322b50ceb0aba635d562f45f8ddc231b50593b7d824ee7839c422b19b8a7
  • 26d602b8f2eb94b0f991482abc104735237d38be8b1073934311dd90e6efdba7
  • 2b5672ba6db501d7f3e37ba782098a212f35d4c2ae3be3a08fe5acef0073c670
  • 2b6fe73ae65e267f3466b4d7d8476999a7d6b38ad4333186d085a7893e467e98
  • 36579bf202a7c8558d73b321064c1adbeffe5aeae42ed4bf0e33c6521075fc91
  • 373361d3c3a12e436c44d7ed0374582968ad8a1883e1b69af82ad8effbb12ce0
  • 3a065e9c2132eb61bf25efc83962aa65ac9fe7a9908174fe9c5013015328614f
  • 446ca724cbc1c7173fc070b76a17e2d4dfee7b73392f203ca04567611b6605cc
  • 4607e9ffbeb99acd9a641c44ab037ba06674abdcd26e822c36b4bb984031cf6c
  • 506fa65178a0e70a44b3d4b4ee6d55965096bb57d1d1fa9727b62db1ee1c1b33
  • 54c2511febe53a2a0265e9037f6335be70ae484a7ff8a6691ccb61af55cd669a
  • 58f2ced4191c26a203811655de5afb963f56e7e9a49d7b94be1eb8d4f00e8b98
  • 6782c7b8fa864e96e96613e03ca043dc99915cb09f7119c65ed7072ae93de659
  • 67e06aa7bf6bd6042f96c81b502f1133d06a7a2e551ba7cd9f9f6a46b954ac1f
  • 6810fbd2016747eadc83e72ca20c555d04d8aaa4825e1bc7af95873330c7a212
  • 696a0e0c47c4e25babb9e8e39f96c45af44e9e790b5ca42632c710bd8ddc78d6
  • 697f7f2770c3c9bc2b334190532c96ef374453e23a93b50f67e4923f1410aa7e
  • 6a7aeb606ae6c13ad05e101b238978aa93e5601f362891a97b2019fa63a2a544
  • 6f9a5a4f85afed97fd5c855194657a097fd5359648cb27bc4dd0945d8bdf4d40
  • 7847f3c1551098d989c88e9ef21e8f016f85aa1560a43fd24c3f056b86812ff2
  • 7939cfb4e3e21a9cf18e5f416057a4aace25f7b75c55e3642ab3946ff4069657
  • 79fd057b9ba0d2c4bdfcb23a7b51cf5692f9c013a0579aa98eaa29cc3a37d1d4
  • 7c3ea6c3775bb05bbaba75cd488d024c4a2b242a9b95f053c444a8e0ba0de213
  • 7d55ccf6d547d3543c74961fa070727c7942642f5e899f006f4667b76eef5afe
  • 85a3560142e9e012295f9b4b806f14da188486c8ba57c00ea3d4cbdc608603b0
  • 88a28fbeb14efe5c4cc24e5cd69db33c211137f845c4d02270e58ff1e4c6d241
  • 893a5ccc36a6eb0cd62a9a30d193ba1cbc62765a9241596a7f915d2fc5feeeb3
  • 8f0f4be6699e4e9436960030196fc5c25cff29ec9e3096a2d95da0e027d5d8da
  • 936ed687b56a1890926b099b05e044bcb16953a842dd458ae0db84284406da01
  • ab4e31ff784eb12ff59eff839b132458990e2d1d310071bba364161db1426cc3
  • abc89a5e97d4bbcbe7ee0bafd9d01fbb4e64608c4b142f605f0bc6c100796fdd
  • b64ffadd7b626e58edd31bfb20ef213efdfd6b608ab92189959f96cde66a280e
  • b9c67f4ea5a94a84bd6c449f0968559bb29664463b55a2e8f1d2e10c01b33b85
  • c0b5fa20f4791ee9391c92f2fa37fb92e35cfa030dc8287504fd623681f896ef
  • c2727900a556df9cc7759fdb98fd33e25e96698b5e82e78cfe56e3a2b12dd3a4
  • c899bdf6161666013411dee7734875d0f14679ef1c52738d3ded6846046d049d
  • ca1e49572183b62d6f47df2aaa653b85efb12007e277ec3b0f8bb1c7ead78c72
  • ca668005aec1ba623f104144e7ebb9c74d8ca45fe0d9d5b4b1bcbf4cc14caa6e
  • cb7a54bea81a757a6c8645238a11f4fa6de9108b77a00ac3d3b8314032ff5df4
  • d65d0f26c2cf63404d62f89c90d169e34d8c9f7fcd15e2f81a3b0185bcaad5ed
  • d8b07ed5159e8e83ebfbe7d46a8112a654bd6d67b1e12d54fdc53d2b289cde4f
  • e124b2c8e7ae7fb601bfe6afabe9cba8a763d596e42f3b39c15d34c54c479fba
  • ebe3246ac9d9de9b978543419da8cd622314497103c57718ae556e62b0fb7b80
  • edcee35dba8091b669c3c24b1c9305f764d9f3b0bcd3dc72684c49d685f1fc51
  • efe06dd8c55daef52f21c9d0592d82ec3b6e89a4ce9dac659e7df5cfea48c214
  • f0fa57f8cfbb4dc218a1d61dbd4b4e670d2abb8319716cbb84561e9b877cca2c
  • f3832b0eeb620224eb870904841421dd132eb313a5ce1eb1c9d6eaff3b0ce02a
Комментарии: 0
Похожие записи
0
12 часов
IOC

Эксплойт Windows Shortcut, используемый в качестве «нулевого дня» в широко распространенных кампаниях APT

security
Команда Trend Zero Day Initiative (ZDI) обнаружила, что злоумышленники активно эксплуатируют уязвимость ZDI-CAN-25373 в файле Windows .lnk, что позволяет им выполнять скрытые вредоносные команды.
0
6 дней
IOC

Члены Black Basta (RaaS) использовали автоматизированную систему грубого форсирования, чтобы атаковать пограничные сетевые устройства

security
11 февраля 2025 года русскоязычный актер, использующий Telegram-аккаунт @ExploitWhispers, опубликовал в сети журналы внутренних чатов группы Black Basta Ransomware-as-a-Service (RaaS).
0
6 дней
IOC

INDOHAXSEC APT IOCs

security
INDOHAXSEC - новый индонезийский хакерский коллектив, обнаруженный компанией Arctic Wolf Labs. Они активно проводили кибератаки на малазийских чиновников, используя методы распределенного отказа в обслуживании (DDoS) и выкупного ПО.