Главная страница » IOC
0
7 месяцев
IOC

TIDRONE APT IOCs

security

Компания Trend Micro опубликовала отчет, в котором подробно описывается деятельность TIDRONE - неизвестной на данный момент китайскоязычной угрожающей группы, которая с начала 2024 года атакует организации, связанные с военными, в частности, производителей беспилотников на Тайване.

TIDRONE APT IOCs

Злоумышленники используют передовые наборы вредоносных программ, включая CXCLNT и CLNTEND, для проникновения в системы через программное обеспечение для планирования ресурсов предприятия (ERP) или удаленные рабочие столы. CXCLNT позволяет загружать и скачивать файлы, очищать следы, собирать системную информацию и выполнять дополнительную полезную нагрузку. CLNTEND, недавно обнаруженный инструмент удаленного доступа (RAT), поддерживает широкий спектр коммуникационных протоколов. Во время пост-эксплойта были замечены такие приемы, как обход контроля учетных записей пользователей (UAC), сброс учетных данных и отключение антивируса.

Чтобы избежать обнаружения, злоумышленники используют методы антианализа, такие как проверка точек входа в родительский процесс и подключение к API. По имеющимся данным, вредоносное ПО может распространяться в рамках атаки на цепочку поставок с использованием взломанных ERP-систем. То, что кампания совпадает по времени с другими шпионскими действиями Китая, позволяет предположить, что целью шпионажа являются конфиденциальные военные данные.

Indicators of Compromise

Domains

  • bestadll.fghytr.com
  • client.wns.windowswns.com
  • server.microsoftsvc.com
  • service.symantecsecuritycloud.com
  • time.vmwaresync.com

SHA256

  • 0d91dfd16175658da35e12cafc4f8aa22129b42b7170898148ad516836a3344f
  • 19bbc2daa05a0e932d72ecfa4e08282aa4a27becaabad03b8fc18bb85d37743a
  • 1bf318c94fa7c3fb26d162d08628cef54157dfeb2b36cf7b264e3915d0c3a504
  • 1f22be2bbe1bfcda58ed6b29b573d417fa94f4e10be0636ab4c364520cda748e
  • 3b8f10a780eb64a3c59a2ae85fec074faf0f1a8d9725fb111f5cbf80e7b0dc1b
  • 4b5f609c6b6788bdf0b900dd3df3c982cd547e7925840000bdc4014f8a980070
  • 6cb08a458e35101ef1035e7926130e1394cc1764a10166628aff541834c67063
  • db600b0ae5f7bfc81518a6b83d0c5d73e1b230e7378aab70b4e98a32ab219a18
  • e366f0209a939503418f2b7befbd60b79609b7298fed9c2fbafcb0e7fde19740
  • eea0f94c6a8f18275c3dac1e1b9e9d3240e37073ff391852e8ff8d8391efa9aa
  • f13869390dda83d40960d4f8a6b438c5c4cd31b4d25def7726c2809ddc573dc7
  • f3897381b9a4723b5f1f621632b1d83d889721535f544a6c0f5b83f6ea3e50b3
Комментарии: 0
Похожие записи
0
1 день
IOC

EncryptHub APT IOCs - Part 2

security
Угроза EncryptHub обнародована, когда команда разведки угроз KrakenLabs и Outpost24 провели исследование о его деятельности. EncryptHub стал все более популярным и развивающимся киберпреступником.
0
3 дня
IOC

Партнеры Qilin атаковали администратора MSP ScreenConnect, нацеливаясь на клиентов.

security
В январе 2025 года администратор поставщика управляемых услуг (MSP) получил фишинговое письмо, представлявшее собой предупреждение об аутентификации для удаленного мониторинга и управления (RMM) инструмента ScreenConnect.
0
4 дня
Articles

Практические проблемы атрибуции APT в случае с подгруппой Lazarus

security
Lazarus- это название, относящееся не к одной атакующей группе, а к совокупности многих подгрупп. Это название первоначально относилось к деятельности одной группы или группы очень ограниченного размера