Главная страница » IOC
0
8 месяцев
IOC

UTG-Q-010 APT IOCs

security

Лаборатория CRIL обнаружила кампанию, проводимую группой UTG-Q-010, которая использует файлы ярлыков Windows (LNK) и нацелена на криптовалютных энтузиастов и отделы кадров. Злоумышленники применяют сложные тактики социальной инженерии и используют легитимные процессы Windows для боковой загрузки вредоносного кода, избегая обнаружения программами безопасности.

UTG-Q-010

Кампания использует вредоносный LNK-файл, содержащий зашифрованный DLL-загрузчик, и это позволяет доставлять и исполнять мощный инструмент удаленного доступа Pupy RAT с помощью методов выполнения в памяти и отражательной загрузки DLL. Это делает кампанию эффективной и трудноотслеживаемой.

Группа UTG-Q-010 уже ранее проводила сложные фишинговые кампании, нацеленные на разработчиков игр и технологии искусственного интеллекта. Они использовали обманчивые письма и сайты в криптовалютном и ИИ-секторах, чтобы заманить жертв на открытие вредоносных вложений или загрузку вредоносных файлов. Злоумышленники маскировали свои атаки под интересы и организационные роли своих целей, демонстрируя глубокое понимание их уязвимостей. Кампания нацелена на получение прибыли и имеет высокий уровень планирования и исполнения фишинговых атак.

CRIL также обнаружила другие образцы кампаний UTG-Q-010, нацеленные на фармацевтическую промышленность. Они использовали подобные фишинговые методы и маскировали вредоносные файлы под легитимное содержимое, чтобы обмануть своих жертв и обеспечить успешную доставку и исполнение своих вредоносных инструментов. Эти кампании показывают применение продвинутых методов уклонения от обнаружения и являются частью долгосрочной стратегии группы.

Исследование показало, что кампания UTG-Q-010 продолжает эволюционировать, применяя новые тактики и техники для обхода традиционных мер безопасности. Группа проявляет глубокое понимание уязвимостей своих целей и целенаправленно нацелена на получение высокой прибыли. Уровень планирования и выполнения фишинговых атак указывает на высокую организованность и профессионализм злоумышленников. Компании и организации, особенно связанные с криптовалютами и отделами кадров, должны принять меры для защиты от подобных атак, включая обучение сотрудников и использование продвинутых систем безопасности.

Indicators of Compromise

IPv4

  • 103.79.76.40

URLs

  • https://chemdl.gangtao.live/down_xia.php
  • https://malaithai.co/lzh.zip
  • https://malaithai.co/MichelinNight.zip

SHA256

  • 0fbb21dd4fd0e0305b57e64f18129682a0416cf852d6bc88b53960e6b48603eb
  • 54368d528214df1ed436e4c82a65ccaf2daf517359a1361b736faab7253e54f6
  • 732a6bf2345e9cc40b9a6a1164dc2e823955cbc56a5d3750e675d1c4db7f7415
  • 9db229a5de265081dc4145be84f23d2f71744967c044b2f10d4a934ec28166db
  • a4abc9c7e3a287641856a069355b02e36226c2ab94cc0807516b86dd66fe1cf5
  • a69693dc1a62e49853ba5eb40999f24e340faf1a087e56f9a21c4622d297c861
  • c9c5bb8acb89ba11e7813b59aad5d3de6d0d4f38839d4a7a74636ce9c9c6ecea
  • f2db556b6e0865783b1d45a7cc40d115ceb04fe2ad145df367ac6f5d8eca901d
Комментарии: 0
Похожие записи
0
2 дня
IOC

Кампания CrazyHunter нацелена на критически важные секторы экономики Тайваня

security
Группа вымогателей CrazyHunter стала серьезной угрозой для организаций в Тайване, особенно в сферах здравоохранения, образования и промышленности. Они используют сложные техники, такие как метод "принеси
0
2 дня
IOC

Цепочка атак, позволяющая избежать обнаружения и усложнить анализ

security
В декабре 2024 года специалисты обнаружили сложную цепочку атак, которая использовала несколько уровней для доставки вредоносного программного обеспечения, такого как Agent Tesla, Remcos RAT или XLoader.
0
3 дня
IOC

Remcos RAT IOCs - Part 27

remote access Trojan
Remcos - это вредоносная программа типа RAT, которую злоумышленники используют для удаленного выполнения действий на зараженных машинах. Эта вредоносная программа чрезвычайно активно обновляется: обновления выходят практически каждый месяц.