Главная страница » IOC
0
7 месяцев
IOC

UNC2970 APT IOCs - II

security

В июне 2024 года компания Mandiant Managed Defense (Mandiant) обнаружила группу кибершпионажа, известную как UNC2970, которая предположительно связана с Северной Кореей. UNC2970 искала цели в критически важных отраслях инфраструктуры США, таких как энергетика и аэрокосмическая промышленность. Группа использовала фишинговые атаки, прикидываясь рекрутерами известных компаний и отправляя вредоносные архивы через электронную почту и WhatsApp. Целью атаки было доставить бэкдор MISTPEN через программу запуска BURNBOOK.

UNC2970 APT

UNC2970 модифицировала открытый исходный код старой версии приложения SumatraPDF, чтобы использовать его в своих атаках. Mandiant заметила, что группа модифицировала описания вакансий, чтобы лучше соответствовать профилю жертв. Они также обнаружили другой ZIP-архив, содержащий аналогичную структуру и другое описание вакансии, связанное с ядерной энергетикой.

Жертвы получали защищенный паролем ZIP-архив, включающий зашифрованный PDF-файл и троянскую программу для просмотра PDF на основе SumatraPDF. Архив был отправлен через WhatsApp, и пользователи, ожидая описание вакансии, открывали его и запускали вредоносную программу. При этом использовалась модифицированная версия SumatraPDF, которая была скомпрометирована UNC2970.

Безопасные версии SumatraPDF не являются компрометированными или уязвимыми, и Mandiant сообщила об этой кампании SumatraPDF для получения общей справки.

Indicators of Compromise

Domains

  • heropersonas.com

URLs

  • https://bmtpakistan.com/solution/wp-content/plugins/one-click-demo-import/assets/asset.php
  • https://cmasedu.com/wp-content/plugins/kirki/inc/script.php
  • https://dstvdtt.co.za/wp-content/plugins/social-pug/assets/lib.php
  • https://graph.microsoft.com/v1.0/me/drive/root:/path/upload/world/266A25710006EF92
  • https://verisoftsystems.com/wp-content/plugins/optinmonster/views/upgrade-link-style.php
  • https://www.clinicabaru.co/wp-content/plugins/caldera-forms/ui/viewer-two/viewer-2.php

MD5

  • 006cbff5d248ab4a1d756bce989830b9
  • 0b77dcee18660bdccaf67550d2e00b00
  • 28a75771ebdb96d9b49c9369918ca581
  • 57e8a7ef21e7586d008d4116d70062a6
  • b707f8e3be12694b4470255e2ee58c81
  • cd6dbf51da042c34c6e7ff7b1641837d
  • eca8eb8871c7d8f0c6b9c3ce581416ed
  • f3baee9c48a2f744a16af30220de5066
Комментарии: 0
Похожие записи
0
3 дня
IOC

APT-группа ToddyCat использует уязвимость в ESET для проксирования DLL-файлов

security
Группы APT используют различные методы обхода защитных систем, чтобы скрыть свою деятельность в зараженных системах. Одним из таких методов является использование руткитов на уровне ядра в системах Windows.
0
3 дня
IOC

Lazarus расширяет вредоносную кампанию npm: 11 новых пакетов добавляют загрузчики вредоносного ПО и полезную нагрузку Bitbucket

security
Группа злоумышленников Contagious Interview, предположительно связанная с Северной Кореей и известная как Lazarus Group, продолжает свою вредоносную кампанию, расширяя свое присутствие в экосистеме npm.
0
7 дней
IOC

EncryptHub APT IOCs - Part 2

security
Угроза EncryptHub обнародована, когда команда разведки угроз KrakenLabs и Outpost24 провели исследование о его деятельности. EncryptHub стал все более популярным и развивающимся киберпреступником.
0
7 дней
IOC

Злоумышленник из Китая активно эксплуатирует критическую уязвимость Ivanti Connect Secure (CVE-2025-22457)

security
Компания Ivanti раскрыла критическую уязвимость безопасности, которая затрагивает VPN-устройства Ivanti Connect Secure (ICS) версии 22.7R2.5 и более ранние. Уязвимость, обозначенная как CVE-2025-22457