Главная страница » IOC
0
2 года
IOC

UNC4841 APT IOCs

security

23 мая 2023 года компания Barracuda объявила, что уязвимость нулевого дня (CVE-2023-2868) в шлюзе Barracuda Email Security Gateway (ESG) была использована в дикой природе еще в октябре 2022 года, и что она привлекла компанию Mandiant для помощи в расследовании. В ходе расследования компания Mandiant выявила подозреваемого китайского агента, в настоящее время отслеживаемого как UNC4841, который нацелился на определенное количество устройств Barracuda ESG для использования в качестве вектора шпионажа, охватывающего множество регионов и секторов. Компания Mandiant с высокой степенью уверенности считает, что UNC4841 является субъектом шпионажа, стоящим за этой широкомасштабной кампанией в поддержку Китайской Народной Республики.

UNC4841 APT

Начиная с 10 октября 2022 года, UNC4841 рассылал электронные письма организациям-жертвам, которые содержали вредоносные файлы-вложения, предназначенные для эксплуатации CVE-2023-2868 с целью получения первоначального доступа к уязвимым устройствам Barracuda ESG. В ходе своей кампании UNC4841 в основном использовал три основных семейства кода для создания и поддержания присутствия на устройстве ESG после успешной эксплуатации CVE-2023-2868. Эти семейства кода - SALTWATER, SEASPY и SEASIDE - были обнаружены в большинстве вторжений UNC4841. Как говорится в уведомлении Barracuda, все три семейства кода пытаются маскироваться под легитимные модули или службы Barracuda ESG, и эта тенденция продолжилась в UNC4841 с помощью вновь выявленных семейств вредоносных программ, о которых впервые рассказывается в этом блоге.

После первоначальной компрометации Mandiant и Barracuda наблюдали, как UNC4841 агрессивно нацеливался на конкретные данные, представляющие интерес для эксфильтрации, а в некоторых случаях использовал доступ к устройству ESG для бокового перемещения в сеть жертвы или для отправки почты на другие устройства жертвы. Mandiant также наблюдала, как UNC4841 развертывает дополнительные инструменты для поддержания присутствия на устройствах ESG.

19 мая 2023 года действия UNC4841 были впервые обнаружены командой Barracuda, а 21 мая 2023 года Barracuda начала выпускать исправления для сдерживания и устранения последствий с целью искоренения UNC4841 из затронутых устройств. В ответ на эти усилия UNC4841 быстро изменил свое вредоносное ПО и задействовал дополнительные механизмы персистенции в попытке сохранить свой доступ.

В период с 22 мая 2023 года по 24 мая 2023 года UNC4841 предпринял ответные высокочастотные операции, направленные на ряд жертв, расположенных по меньшей мере в 16 различных странах. В целом, Mandiant определила, что эта кампания затронула организации государственного и частного секторов по всему миру, причем почти треть из них - правительственные учреждения.

6 июня 2023 года компания Barracuda повторила рекомендации, рекомендующие всем пострадавшим клиентам Barracuda немедленно изолировать и заменить скомпрометированные устройства. Кроме того, компания Mandiant рекомендует продолжить расследование и поиск в затронутых сетях, поскольку идентифицированный субъект угрозы продемонстрировал стремление к сохранению постоянства для продолжения операций и способность перемещаться в сторону от устройства ESG.

Indicators of Compromise

IPv4

  • 101.229.146.218
  • 103.146.179.101
  • 103.27.108.62
  • 103.77.192.13
  • 103.77.192.88
  • 103.93.78.142
  • 104.156.229.226
  • 104.223.20.222
  • 107.148.149.156
  • 107.148.219.227
  • 107.148.219.53
  • 107.148.219.54
  • 107.148.219.55
  • 107.148.223.196
  • 107.173.62.158
  • 137.175.19.25
  • 137.175.28.251
  • 137.175.30.36
  • 137.175.30.86
  • 137.175.51.147
  • 137.175.53.17
  • 137.175.53.170
  • 137.175.53.218
  • 137.175.60.252
  • 137.175.60.253
  • 137.175.78.66
  • 139.84.227.9
  • 155.94.160.72
  • 182.239.114.135
  • 182.239.114.254
  • 192.74.226.142
  • 192.74.254.229
  • 198.2.254.219
  • 198.2.254.220
  • 198.2.254.221
  • 198.2.254.222
  • 198.2.254.223
  • 199.247.23.80
  • 213.156.153.34
  • 216.238.112.82
  • 23.224.42.29
  • 23.224.78.130
  • 23.224.78.131
  • 23.224.78.132
  • 23.224.78.133
  • 23.224.78.134
  • 37.9.35.217
  • 38.54.1.82
  • 38.54.113.205
  • 38.60.254.165
  • 45.63.76.67
  • 52.23.241.105
  • 64.176.4.234
  • 64.176.7.59

Domains

  • bestfindthetruth.com
  • fessionalwork.com
  • gesturefavour.com
  • goldenunder.com
  • singamofing.com
  • singnode.com
  • togetheroffway.com
  • troublendsef.com

MD5

  • 0245e7f9105253ecb30de301842e28e4
  • 0805b523120cc2da3f71e5606255d29c
  • 0c227990210e7e9d704c165abd76ebe2
  • 0d67f50a0bf7a3a017784146ac41ada0
  • 132a342273cd469a34938044e8f62482
  • 17696a438387248a12cc911fbae8620e
  • 177add288b289d43236d2dba33e65956
  • 19e373b13297de1783cecf856dc48eb0
  • 19ebfe05040a8508467f9415c8378f32
  • 1b1830abaf95bd5a44aa3873df901f28
  • 1bbb32610599d70397adfdaf56109ff3
  • 1bc5212a856f028747c062b66c3a722a
  • 1c042d39ca093b0e7f1412453b132076
  • 1fea55b7c9d13d822a64b2370d015da7
  • 23f4f604f1a05c4abf2ac02f976b746b
  • 2ccb9759800154de817bf779a52d48f8
  • 2d841cb153bebcfdee5c54472b017af2
  • 2e30520f8536a27dd59eabbcb8e3532a
  • 349ca242bc6d2652d84146f5f91c3dbb
  • 35cf6faf442d325961935f660e2ab5a0
  • 3b93b524db66f8bb3df8279a141734bb
  • 3c20617f089fe5cc9ba12c43c6c072f5
  • 3e3f72f99062255d6320d5e686f0e212
  • 407738e565b4e9dafb07b782ebcf46b0
  • 42722b7d04f58dcb8bd80fe41c7ea09e
  • 436587bad5e061a7e594f9971d89c468
  • 446f3d71591afa37bbd604e2e400ae8b
  • 45b79949276c9cb9cf5dc72597dc1006
  • 4b511567cfa8dbaa32e11baf3268f074
  • 4c1c2db989e0e881232c7748593d291e
  • 4ca4f582418b2cc0626700511a6315c0
  • 4cd0f3219e98ac2e9021b06af70ed643
  • 4ec4ceda84c580054f191caa09916c68
  • 5392fb400bd671d4b185fb35a9b23fd3
  • 5d6cba7909980a7b424b133fbac634ac
  • 5fdee67c82f5480edfa54afc5a9dc834
  • 64c690f175a2d2fe38d3d7c0d0ddbb6e
  • 666da297066a2596cacb13b3da9572bf
  • 694cdb49879f1321abb4605adf634935
  • 69ef9a9e8d0506d957248e983d22b0d5
  • 6f79ef58b354fd33824c96625590c244
  • 76811232ede58de2faf6aca8395f8427
  • 7d7fd05b262342a9e8237ce14ec41c3b
  • 827d507aa3bde0ef903ca5dec60cdec8
  • 82eaf69de710abdc5dea7cd5cb56cf04
  • 831d41ba2a0036540536c2f884d089f9
  • 85c5b6c408e4bdb87da6764a75008adf
  • 87847445f9524671022d70f2a812728f
  • 878cf1de91f3ae543fd290c31adcbda4
  • 881b7846f8384c12c7481b23011d8e45
  • 8fc03800c1179a18fbd58d746596fa7d
  • 8fdf3b7dc6d88594b8b5173c1aa2bc82
  • 9033dc5bac76542b9b752064a56c6ee4
  • a08a99e5224e1baf569fda816c991045
  • a45ca19435c2976a29300128dc410fd4
  • ac4fb6d0bfc871be6f68bfa647fc0125
  • ad1dc51a66201689d442499f70b78dea
  • b601fce4181b275954e3f35b18996c92
  • ba7af4f98d85e5847c08cf6cefdf35dc
  • bef722484288e24258dd33922b1a7148
  • c528b6398c86f8bdcfa3f9de7837ebfe
  • c56d7b86e59c5c737ee7537d7cf13df1
  • c7a89a215e74104682880def469d4758
  • c979e8651c1f40d685be2f66e8c2c610
  • cb0f7f216e8965f40a724bc15db7510b
  • cd2813f0260d63ad5adf0446253c2172
  • ce67bb99bc1e26f6cb1f968bc1b1ec21
  • d098fe9674b6b4cb540699c5eb452cb5
  • db4c48921537d67635bb210a9cb5bb52
  • e4e86c273a2b67a605f5d4686783e0cc
  • e52871d82de01b7e7f134c776703f696
  • e80a85250263d58cc1a1dc39d6cf3942
  • f5ab04a920302931a8bd063f27b745cc
  • f6857841a255b3b4e4eded7a66438696
Комментарии: 0
Похожие записи
0
8 часов
IOC

APT37 - RokRat

security
APT37, также известная как ScarCruft, Reaper и Red Eyes - северокорейская хакерская группировка, спонсируемая государством и действующая с 2012 года. Изначально ее деятельность была сосредоточена на правительственном
0
8 часов
IOC

Squid Werewolf APT IOCs

security
В ходе недавней кибератаки злоумышленники использовали фишинговую электронную почту, чтобы атаковать ключевых сотрудников одной из промышленных организаций. Обнаруженная в декабре 2024 года экспертами BI.
0
1 день
IOC

Blind Eagle APT IOCs

security
Группа APT-C-36, известная также как Blind Eagle, продолжает активно атаковать колумбийские учреждения и правительственные структуры, используя уязвимость CVE-2024-43451, которая была исправлена Microsoft 12 ноября 2024 года.
0
1 день
IOC

SideWinder нацелилась на морской и ядерный секторы

security
APT-группа SideWinder продолжает активно расширять свою деятельность в морском и ядерном секторах, используя обновленный набор инструментов. В прошлом году исследователи обнаружили, что группа заражает