Главная страница » IOC
0
1 год
IOC

UNC4841 APT IOCs - Part 2

security

Активности UNC4841, наблюдавшихся у жертв, подвергшихся успешной эксплуатации CVE-2023-2868. Кампания охватывала период с октября 2022 года по июнь 2023 года, причем первоначальный всплеск активности по эксплуатации CVE-2023-2868 пришелся на начало ноября 2022 года.

Проведя анализ кампании, Mandiant выявила явный спад активности примерно с 20 по 22 января 2023 г. - период, совпадающий с началом китайского Нового года - национального праздника, отмечаемого в Китайской Народной Республике. Кроме того, дальнейший анализ временной шкалы позволил выявить два всплеска активности, последовавших за первоначальными действиями Barracuda по исправлению ситуации и публичным уведомлением 23 мая 2023 года. Первый всплеск активности произошел в течение нескольких дней после уведомления, когда злоумышленник переработал вредоносное ПО и изменил методы сохранения, о чем мы подробно рассказывали в нашем предыдущем блоге. За ним последовала вторая, ранее не раскрывавшаяся волна, которая началась в начале июня 2023 года.

В ходе этой второй волны Mandiant обнаружила, что злоумышленник пытается сохранить доступ к скомпрометированным средам путем развертывания новых семейств вредоносных программ SKIPJACK, DEPTHCHARGE и FOXTROT / FOXGLOVE. Второй всплеск активности UNC4841 стал самым интенсивным за всю кампанию, что свидетельствует о решимости UNC4841 сохранить доступ к конкретным средам жертв.

Indicators of Compromise

IPv4

  • 101.229.146.218
  • 103.146.179.101
  • 103.146.179.69
  • 103.27.108.62
  • 103.77.192.13
  • 103.77.192.87
  • 103.77.192.88
  • 103.93.78.142
  • 104.156.229.226
  • 104.223.20.222
  • 107.148.149.156
  • 107.148.219.227
  • 107.148.219.53
  • 107.148.219.54
  • 107.148.219.55
  • 107.148.223.196
  • 107.173.62.158
  • 113.52.106.3
  • 137.175.19.25
  • 137.175.28.251
  • 137.175.30.36
  • 137.175.30.86
  • 137.175.51.147
  • 137.175.53.17
  • 137.175.53.170
  • 137.175.53.218
  • 137.175.60.252
  • 137.175.60.253
  • 137.175.78.66
  • 139.84.227.9
  • 155.94.160.72
  • 155.94.160.95
  • 182.239.114.135
  • 182.239.114.254
  • 185.243.41.209
  • 192.74.226.142
  • 192.74.254.229
  • 195.234.82.132
  • 198.2.254.219
  • 198.2.254.220
  • 198.2.254.221
  • 198.2.254.222
  • 198.2.254.223
  • 199.247.23.80
  • 213.156.153.34
  • 216.238.112.82
  • 23.224.42.29
  • 23.224.42.5
  • 23.224.78.130
  • 23.224.78.131
  • 23.224.78.132
  • 23.224.78.133
  • 23.224.78.134
  • 37.9.35.217
  • 38.54.1.82
  • 38.54.113.205
  • 38.60.254.165
  • 45.148.16.42
  • 45.148.16.46
  • 45.154.253.153
  • 45.154.253.154
  • 45.63.76.67
  • 51.91.79.17
  • 52.23.241.105
  • 54.197.109.223
  • 64.176.4.234
  • 64.176.7.59

Domains

  • bestfindthetruth.com
  • fessionalwork.com
  • gesturefavour.com
  • goldenunder.com
  • mx01.bestfindthetruth.com
  • note.goldenunder.com
  • singamofing.com
  • singnode.com
  • togetheroffway.com
  • troublendsef.com
  • xxl17z.dnslog.cn

MD5

  • 0245e7f9105253ecb30de301842e28e4
  • 025046adfa7b2cf50f86f5e0c6bb2ab7
  • 03e07c538a5e0e7906af803a83c97a1e
  • 06528143748b54793b2a7561d96138c5
  • 0805b523120cc2da3f71e5606255d29c
  • 0c227990210e7e9d704c165abd76ebe2
  • 0d67f50a0bf7a3a017784146ac41ada0
  • 0dd78b785e7657999d05d52a64b4c4cf
  • 132a342273cd469a34938044e8f62482
  • 17696a438387248a12cc911fbae8620e
  • 177add288b289d43236d2dba33e65956
  • 19e373b13297de1783cecf856dc48eb0
  • 19ebfe05040a8508467f9415c8378f32
  • 1b1830abaf95bd5a44aa3873df901f28
  • 1b92e5455de794af560f10a907d931cc
  • 1bbb32610599d70397adfdaf56109ff3
  • 1bc5212a856f028747c062b66c3a722a
  • 1fea55b7c9d13d822a64b2370d015da7
  • 206b05ef55aff6fa453ba8e5f6c55167
  • 23f4f604f1a05c4abf2ac02f976b746b
  • 2ccb9759800154de817bf779a52d48f8
  • 2d841cb153bebcfdee5c54472b017af2
  • 2e30520f8536a27dd59eabbcb8e3532a
  • 3273a29d15334efddd8276af53c317fb
  • 32ffe48d1a8ced49c53033eb65eff6f3
  • 336c12441b7a678280562729c974a840
  • 349ca242bc6d2652d84146f5f91c3dbb
  • 35a432e40da597c7ab63ff16b09d19d8
  • 35cf6faf442d325961935f660e2ab5a0
  • 3b93b524db66f8bb3df8279a141734bb
  • 3c20617f089fe5cc9ba12c43c6c072f5
  • 3e3f72f99062255d6320d5e686f0e212
  • 407738e565b4e9dafb07b782ebcf46b0
  • 42722b7d04f58dcb8bd80fe41c7ea09e
  • 436587bad5e061a7e594f9971d89c468
  • 446f3d71591afa37bbd604e2e400ae8b
  • 4495cb72708f486b734de6b6c6402aba
  • 45b79949276c9cb9cf5dc72597dc1006
  • 479315620c9a5a62a745ab586ba7b78c
  • 4b511567cfa8dbaa32e11baf3268f074
  • 4c1c2db989e0e881232c7748593d291e
  • 4ca4f582418b2cc0626700511a6315c0
  • 4cd0f3219e98ac2e9021b06af70ed643
  • 4ec4ceda84c580054f191caa09916c68
  • 5392fb400bd671d4b185fb35a9b23fd3
  • 5d6cba7909980a7b424b133fbac634ac
  • 5fdee67c82f5480edfa54afc5a9dc834
  • 61514ac639721a51e98c47f2ac3afe81
  • 64c690f175a2d2fe38d3d7c0d0ddbb6e
  • 666da297066a2596cacb13b3da9572bf
  • 67a4556b021578e0a421fdc251f07e04
  • 683acdb559bbc7fb64431d1f579a8104
  • 694cdb49879f1321abb4605adf634935
  • 69ef9a9e8d0506d957248e983d22b0d5
  • 6f79ef58b354fd33824c96625590c244
  • 724079649f690ca1ee80b8b3125b58b9
  • 76811232ede58de2faf6aca8395f8427
  • 7a31d314247ac33ae39a9248b770d717
  • 7d7fd05b262342a9e8237ce14ec41c3b
  • 7ebd5f3e800dcd0510cfcbe2351d3838
  • 806250c466824a027e3e85461dc672db
  • 827d507aa3bde0ef903ca5dec60cdec8
  • 82eaf69de710abdc5dea7cd5cb56cf04
  • 830fca78440780aef448c862eee2a8ac
  • 831d41ba2a0036540536c2f884d089f9
  • 8406f74ac2c57807735a9b86f61da9f9
  • 858174c8f4a45e9564382d4480831c6b
  • 85c5b6c408e4bdb87da6764a75008adf
  • 87847445f9524671022d70f2a812728f
  • 878cf1de91f3ae543fd290c31adcbda4
  • 881b7846f8384c12c7481b23011d8e45
  • 8f1c40bd3ab33d517839ca17591d8666
  • 8fc03800c1179a18fbd58d746596fa7d
  • 8fdf3b7dc6d88594b8b5173c1aa2bc82
  • 9033dc5bac76542b9b752064a56c6ee4
  • 90a75b588f63c6a0294a48e93628aec9
  • 94b6f76da938ef855a91011f16252d59
  • 9aa90d767ba0a3f057653aadcb75e579
  • 9bc6d6af590e7d94869dee1d33cc1cae
  • a08a99e5224e1baf569fda816c991045
  • a28de396aa91b7faca35e861b634c502
  • a45ca19435c2976a29300128dc410fd4
  • ac4fb6d0bfc871be6f68bfa647fc0125
  • ad1dc51a66201689d442499f70b78dea
  • b354111afc9c6c26c1475e761d347144
  • b601fce4181b275954e3f35b18996c92
  • b745626b36b841ed03eddfb08e6bb061
  • b860198feca7398bc79a8ec69afc65ed
  • ba7af4f98d85e5847c08cf6cefdf35dc
  • bef722484288e24258dd33922b1a7148
  • c2e577c71d591999ad5c581e49343093
  • c528b6398c86f8bdcfa3f9de7837ebfe
  • c56d7b86e59c5c737ee7537d7cf13df1
  • c5c93ba36e079892c1123fe9dffd660f
  • c7a89a215e74104682880def469d4758
  • c979e8651c1f40d685be2f66e8c2c610
  • cb0f7f216e8965f40a724bc15db7510b
  • cd2813f0260d63ad5adf0446253c2172
  • cd2813f0260d63ad5adf0446253c2576
  • ce67bb99bc1e26f6cb1f968bc1b1ec21
  • d098fe9674b6b4cb540699c5eb452cb5
  • d1392095086c07bd8d2ef174cb5f6ca8
  • d81263e6872cc805e6cf4ca05d86df4e
  • d8e748b1b609d376f57343b2bde94b29
  • da06e7c32f070a9bb96b720ef332b50b
  • db4c48921537d67635bb210a9cb5bb52
  • dde2d3347b76070fff14f6c0412f95ba
  • e4e86c273a2b67a605f5d4686783e0cc
  • e52871d82de01b7e7f134c776703f696
  • e68cd991777118d76e7bce163d8a2bc1
  • e80a85250263d58cc1a1dc39d6cf3942
  • ec0d46b2aa7adfdff10a671a77aeb2ae
  • ed648c366b6e564fc636c072bbcac907
  • ef00c92fa005c2f61ec23d5278a8fa25
  • f013a111044f3228b978f49e1ee374fe
  • f5ab04a920302931a8bd063f27b745cc
  • f667939000c941e5b9dc91303c98b7fc
  • f6857841a255b3b4e4eded7a66438696
  • fe031a93c84aa3d01e2223a6bb988fa0
  • fe1e2d676c91f899b706682b70176983
  • ff005f1ff98ec1cd678785baa0386bd1
  • ff4f425be50bacbb10f16287aaddb7e3
Комментарии: 0
Похожие записи
0
3 месяца
IOC

UNC4736 APT IOCs - Part 2

security
Mandiant приписывает похищение криптовалюты на сумму 50 миллионов долларов США из Radiant Capital, произошедшее в октябре 2024 года, злоумышленнику UNC4736, связанному с северокорейским государством.
0
5 месяцев
IOC, vulnerability

Эксплойтация нулевого дня в FortiManager (CVE-2024-47575)

vulnerability
В октябре 2024 года компания Mandiant совместно с компанией Fortinet провела расследование уязвимости FortiManager, которая позволяет злоумышленникам выполнить произвольный код на уязвимых устройствах FortiManager.