Главная страница » IOC
0
10 месяцев
IOC

Unfading Sea Haze APT IOCs

security

Ранее неизвестный агент угроз, обозначенный Bitdefender Labs как "Unfading Sea Haze", с 2018 года атакует военные и правительственные организации в регионе Южно-Китайского моря, оставаясь незамеченным до недавнего времени. Исследователи Bitdefender связывают его деятельность с геополитическими интересами Китая.

Атаки "Unfading Sea Haze" начинаются с рассылки фишинговых писем, содержащих вредоносные ZIP-архивы и LNK-файлы, и развертывания безфайлового вредоносного ПО через MSBuild. Это безфайловое вредоносное ПО, получившее название 'SerialPktdoor', служит бэкдором, обеспечивающим злоумышленникам удаленный контроль над взломанной системой. Кроме того, злоумышленники используют запланированные задачи, манипуляции с учетными записями локальных администраторов и коммерческие инструменты удаленного мониторинга и управления (RMM), такие как Itarian RMM, чтобы закрепиться во взломанной сети. После получения доступа Unfading Sea Haze использует различные инструменты, такие как кейлоггер, похититель информации, нацеленный на данные, хранящиеся в веб-браузерах, и разновидности вредоносного ПО Gh0stRAT для перехвата нажатий клавиш, кражи информации и поддержания устойчивости. Угрожающий агент также использует такие инструменты, как Ps2dllLoader, 'SharpJSHandler' и собственный инструмент для мониторинга и утечки данных из взломанных систем. Последние атаки показали переход к использованию утилиты curl и протокола FTP для утечки данных, а также динамически генерируемых учетных данных, которые часто меняются.

Indicators of Compromise

IPv4

  • 112.113.112.5
  • 128.199.166.143
  • 128.199.66.11
  • 159.223.78.147
  • 188.166.224.242
  • 193.149.129.128
  • 209.97.167.177
  • 45.61.137.109

URLs

  • http://airst.giize.com
  • http://api.bitdefenderupdate.org
  • http://api.simpletra.com
  • http://auth.bitdefenderupdate.com
  • http://bit.kozow.com
  • http://bitdefenderupdate.org
  • http://cdn.g8z.net
  • http://dns-log.d-n-s.org.uk
  • http://employee.mywire.org
  • http://fc.adswt.com
  • http://helpdesk.fxnxs.com
  • http://link.theworkguyoo.com
  • http://linklab.blinklab.com
  • http://mail.adswt.com
  • http://mail.simpletra.com
  • http://mail.theworkguyoo.com
  • http://manags.twilightparadox.com
  • http://message.ooguy.com
  • http://newy.hifiliving.com
  • http://payroll.mywire.org
  • http://rest.redirectme.net
  • http://sopho.kozow.com
  • http://spcg.lunaticfridge.com
  • http://upupdate.ooguy.com
  • http://word.emldn.com

MD5

  • 00bcbeb6ffdadc50a931212eff424e19
  • 0dd4603f7c3a80a2408e458fe58b2e60
  • 0f4d06cedc93c7784580a3a7c4ad2fb4
  • 100c461d79471c96eba20c8eae35c5ba
  • 1179f589791c2eaa1ae33f38e62753d0
  • 11c7f264184ed52df4a3836a623845c8
  • 124bdaaa70da4daeacbc0513b6c0558e
  • 14a88779c7e03ecfc19dd18221e25105
  • 17303b1a254abb9ed0795f7d9b51b462
  • 19dbf2d82f6f95a73f1529636e775295
  • 1ce17f0e2a000a889b3f81e80b95f19f
  • 1d2185c956a75a8628e310a38dea4001
  • 1dbcd8d2f5718fa7654f8b5f34b88d43
  • 1e55bda0b7eb0aea78577a21f51e8f5c
  • 2e4055e16c1a9274caa182223977eda1
  • 35623ba9f8fcbcf0fce96aa2465b0b66
  • 35a307b73849a3d7a7cd603a0c4698f2
  • 3631001b60bdf712e6294d40ec777d87
  • 39d43f21b3c2b9f94165f5257b229fb4
  • 3d879bc2fb28c5abbcd6e08b6e5dc762
  • 3d87f0bd243cff931bb463fce1d115e3
  • 3decde2a91f52255dd97eaafc2666947
  • 4d99127e4b1d27a56f7c4b198739176b
  • 4e470ea6d7d7da6dd4147c8e948df7c8
  • 4ec62fdd3d02bc9b81a8c78910b8463a
  • 510c36c9061778d166e23177a191df35
  • 5268206fb6c96f614f67cd5d686f42af
  • 5421e3cef32e534fa74a26df1c753700
  • 551bda0f19bf2705f5f7bd52dcbc021f
  • 5800fff782c36df785dad1d0a34ad418
  • 5bd1eb1166da401c470af2b9e204b2d1
  • 5f8f9269bcd52ef630bc563b83059b77
  • 654163ab9002bd06f68a9f41123b1cd4
  • 6a0933d08d8d27165f72c53df8f1bf04
  • 6c49738668ca7c054f0708ecc3b626c8
  • 70773eb54234c486c46048ade57db45b
  • 7169179cc18e6aa6c2c36e4bee59f63d
  • 7aba74bfbf5cb068fb52e8813c40f4cd
  • 7ff8a134c1ee44c915339a74e4a2d3ca
  • 80fb9865209f8d8d1017c8151c79ef74
  • 828faccaaf8e70be1c32ae5588d3df12
  • 846838327cda19b4415afd5b352c95df
  • 8c31532f73671995d7f3b6d5814ba726
  • 91017ad856cff5f0cb304ea2a3ae81c9
  • 9425f9f7cc393c492deb267c12d031c5
  • 95701a74b6b3de68fc375cd08ae8d2c2
  • 960a964cab127c4f3c726612fdeaeb08
  • 96a43d13fd11464e9898af98cc5bb24b
  • 98de3eeda1adefec31d3e3f00079dd2d
  • a5af41fda8ef570fda96c64a932d4247
  • ac7b8524098cbb423619706ff617b6a6
  • af215f4670ae190e699c27e5205aadee
  • b04d9dba3bc922a33c1408d4fbf80678
  • b1a886f8904d90ad28fce0dc0dc9df93
  • b3dc2dcb0f2a5661aed1f4e6d9e88bc6
  • b6cd3d88a6d6886718b6113147a99901
  • b98e54d01a094bb6b83eff06a8cf49d6
  • c8c890cf8d61cab805e9ef0a4471579a
  • cb95ad8fad82eac1c553cd2d7470100b
  • cd0b810751eb2a1470e44f7f6660d5f4
  • cf398f9780de020919daad9ca4a27455
  • d9a452c1c06903fafa4dc4625b2c2d9b
  • e7433f8a0943a6025d43473990ec8068
  • f54bed43b372997f3bafe5c67c799e73
  • fabdf1094b49673bc0f015cbb986bad5
  • fda22f52f0d3a81f095a00810a3dd70a
Комментарии: 0
Похожие записи
0
13 часов
IOC

EncryptHub APT IOCs - Part 2

security
Угроза EncryptHub обнародована, когда команда разведки угроз KrakenLabs и Outpost24 провели исследование о его деятельности. EncryptHub стал все более популярным и развивающимся киберпреступником.
0
3 дня
IOC

Партнеры Qilin атаковали администратора MSP ScreenConnect, нацеливаясь на клиентов.

security
В январе 2025 года администратор поставщика управляемых услуг (MSP) получил фишинговое письмо, представлявшее собой предупреждение об аутентификации для удаленного мониторинга и управления (RMM) инструмента ScreenConnect.
0
3 дня
Articles

Практические проблемы атрибуции APT в случае с подгруппой Lazarus

security
Lazarus- это название, относящееся не к одной атакующей группе, а к совокупности многих подгрупп. Это название первоначально относилось к деятельности одной группы или группы очень ограниченного размера