Главная страница » IOC
0
8 месяцев
IOC

UNC4393 APT IOCs

security

В середине 2022 года компания Mandiant обнаружила несколько вторжений, связанных с вредоносной программой QAKBOT. В результате была развернута система BEACON для борьбы с вымогательским ПО. Компания впервые идентифицировала кластер UNC4393, главного пользователя вымогательского ПО BASTA. Mandiant отреагировала на более 40 вторжений этого кластера в разных отраслевых секторах. Хотя раньше организации здравоохранения не были интересны UNC4393, но недавние взломы в этой отрасли указывают на возможное расширение его деятельности. Однако сайт утечки данных Black Basta сообщает о более 500 жертвах, которые попали в руки этого кластера.

UNC4393 APT

Mandiant подробно рассматривает тактику действий кластера UNC4393 и его использование вредоносных программ на протяжении всего периода активной деятельности, особо отмечая период после уничтожения ботнета QAKBOT. Кластер перешел от использования простых инструментов к разработке вредоносных программ на заказ и стал более зависимым от брокеров доступа, а также разнообразил методы получения начального доступа.

Основной активностью кластера UNC4393 является использование вредоносной программы BASTA, которая злоупотребляет доступом, полученным из ботнетов UNC2633 и UNC2500 QAKBOT. Операторы BASTA используют закрытую модель партнерства или заключенное приглашение, предоставляя шифровальщик только доверенным сторонникам. В отличие от моделей RaaS, где акцент ставится на разработке вредоносных программ и сопутствующих услуг, операторы BASTA сконцентрированы на получении начального доступа через партнерство или приобретение в подпольных сообществах.

UNC4393 предположительно работает с эксклюзивной и сплоченной группой операторов, и хотя Mandiant отслеживает единственный активный кластер, использующий BASTA, не исключается возможность доступа к этому шифровальщику и другим злоумышленникам.

Mandiant также обнаружила, что UNC4393 использует вредоносные программы, такие как BASTA, SYSTEMBC и KNOTWRAP. BASTA - это программа-вымогатель, которая шифрует локальные файлы. SYSTEMBC - это туннелирующая программа, которая получает прокси-команды с сервера управления, а KNOTWRAP - это программа, работающая только с памятью.

UNC4393 продемонстрировал быстрое проведение разведки, эксфильтрации данных и достижение своих целей, что подтверждается сотнями жертв, заявленных в DLS. Mandiant продолжает наблюдать и отслеживать активность этого кластера и оценивать его влияние на разные отрасли.

Indicators of Compromise

IPv4

  • 104.207.146.23
  • 116.202.235.163
  • 131.226.2.165
  • 134.122.36.228
  • 136.244.110.56
  • 139.162.141.128
  • 140.82.26.90
  • 144.202.30.15
  • 162.33.179.6
  • 163.116.145.66
  • 163.116.252.73
  • 163.116.253.53
  • 167.88.171.25
  • 170.130.165.105
  • 170.130.165.97
  • 170.130.55.123
  • 170.130.55.139
  • 170.130.55.196
  • 173.44.141.202
  • 173.44.141.86
  • 174.203.72.57
  • 179.60.149.232
  • 179.60.149.243
  • 185.196.9.11
  • 185.212.47.3
  • 185.219.221.136
  • 195.123.241.196
  • 198.244.169.199
  • 198.244.169.211
  • 209.127.37.61
  • 209.250.246.227
  • 216.54.213.13
  • 4.235.113.106
  • 45.155.249.144
  • 45.155.249.250
  • 45.155.249.7
  • 45.227.255.139
  • 45.227.255.187
  • 45.227.255.216
  • 45.227.255.72
  • 45.227.255.73
  • 45.33.116.45
  • 45.61.136.137
  • 45.61.137.77
  • 45.77.72.150
  • 46.161.27.151
  • 46.4.66.168
  • 5.78.41.126
  • 51.195.192.120
  • 51.210.138.91
  • 51.89.241.90
  • 51.89.53.21
  • 51.89.53.6
  • 51.89.62.202
  • 51.89.62.216
  • 51.89.62.218
  • 51.91.79.17
  • 64.176.219.106
  • 79.132.128.10
  • 79.132.130.60
  • 8.212.183.173
  • 8.36.116.94
  • 80.77.23.210
  • 88.214.25.244
  • 94.247.42.236
  • 98.97.80.160

Domains

  • artstrailreviews.com
  • cleaninghouseinc.com
  • cloudwebstart.net
  • conitreid.com
  • coxfixed.com
  • erihudeg.com
  • globalusa.net
  • investsystemus.net
  • jenshol.com
  • lindacolor.com
  • modernbee.net
  • modernbeem.net
  • myinternationalsolutions.com
  • oneblackwood.com
  • onedogsclub.com
  • rasapool.net
  • realusatruck.com
  • realzoogroup.com
  • recentbee.net
  • recentbeelive.com
  • ruggioil.com
  • specialdrills.com
  • startupmartec.net
  • symposiumos.com
  • thetrailbig.net
  • tomlawcenter.com
  • topclubfond.com
  • topglobaltv.com
  • trailcocompany.com
  • trailcosolutions.com
  • unougn.com
  • usaglobalnews.com
  • wipresolutions.com

MD5

  • 25dd591a343e351fd72b6278ebf8197e
  • 286394d06972734946774c85742a094f
  • 387864bc379e0017c30fc5f608ac9868
  • 3d339c1499363d7571073f9347c9fdb6
  • 7bd00958b9caabfc1e426205700b63fc
  • a9447a25ab79eed2942997daced4eb3e
  • af35580a4c293ba23dfe48c03ba1d949
  • b2af1cd157221f240ce8f8fa88bf6d44
  • c073e721d48deb72e5c17ee72ad592e3
  • c451ffca71ef1433e1208779c126ef20
  • d4fd61c1bb582b77a87259bcd44178d4
  • e7d5201947829fd265a0356771fbeb63

SHA1

  • 1eb93896854fe11e47942530ab109a74adb90c2b
  • 506db9e2b0871253a9a44083d46831145da5dc13
  • 616415b3ec0c08511d232e56b51faf7a03c45183
  • 65a7fee21eb8842b34e729fc43b668e69905d1ac
  • 6c90b89aad04f38c584fcee1d47fed9cd79f8ef1
  • 77a9ec4ccd9ef76f376e04ce338170685cc26c95
  • 815e7090399df8b9a326c77bb03684f87252c437
  • 88437e51dd3872af3658b57e7f489758e8cbf31d
  • d3c4163a35204eee15bce9a08825c7e9bc0666ad
  • d9c69ce1ba4c5411482ec014c8be40e3320e778e
  • eead781343d33e0e0e9f998b963ecc8e8032ec31
  • fce0f4cf40d7b02f5c74f2b5f67c4a2423fa63fe

SHA256

  • 021921800888bc174c40c2407c0ea010f20e6d32c596ed3286ebfe7bd641dd79
  • 1ede3018667af92918ad728f2bfd222d8e71826219c3d8374150cce772f0f7c2
  • 23317330e82ce09b44c8142ed8efc2e068d595071053081bc438604eb0f28b41
  • 3c65da7f7bfdaf9acc6445abbedd9c4e927d37bb9e3629f34afc338058680407
  • 50400d432452dca3de821d0c3323f62c90d6786abd6db5c1642b37a6b11312a7
  • 6381559b7dcdac967085712b8dd016730ab142170a9526cc8daf601f36d826b4
  • 6f78256f20eb2b5594391095a341f8749395e7566fdd2ddd3a34a0db9bb9f871
  • 8501e14ee6ee142122746333b936c9ab0fc541328f37b5612b6804e6cdc2c2c6
  • 8dd7757da361012d08ce5b33dfa485e256b66cfbc33c35409fd710af8565c284
  • 93b038797a7f57f38b886395935377b9870c0b7e5db254fa10905149d63f731e
  • 9716f952a0ea4eb9b4765002a0b096b0f03487387f0a42941f344fc4c61f8abe
  • b32daf27aa392d26bdf5faafbaae6b21cd6c918d461ff59f548a73d447a96dd9
Комментарии: 0
Похожие записи
0
3 часа
IOC

APT37 - RokRat

security
APT37, также известная как ScarCruft, Reaper и Red Eyes - северокорейская хакерская группировка, спонсируемая государством и действующая с 2012 года. Изначально ее деятельность была сосредоточена на правительственном
0
3 часа
IOC

Squid Werewolf APT IOCs

security
В ходе недавней кибератаки злоумышленники использовали фишинговую электронную почту, чтобы атаковать ключевых сотрудников одной из промышленных организаций. Обнаруженная в декабре 2024 года экспертами BI.
0
1 день
IOC

Blind Eagle APT IOCs

security
Группа APT-C-36, известная также как Blind Eagle, продолжает активно атаковать колумбийские учреждения и правительственные структуры, используя уязвимость CVE-2024-43451, которая была исправлена Microsoft 12 ноября 2024 года.
0
1 день
IOC

SideWinder нацелилась на морской и ядерный секторы

security
APT-группа SideWinder продолжает активно расширять свою деятельность в морском и ядерном секторах, используя обновленный набор инструментов. В прошлом году исследователи обнаружили, что группа заражает