Главная страница » IOC
0
2 года
IOC

Violet Typhoon (APT31) IOCs

security

Kaspersky Lab выявила более 15 имплантов и их вариантов, установленных злоумышленниками в ходе серии атак на промышленные организации в Восточной Европе.
Основываясь на сходстве этих кампаний с ранее исследованными кампаниями (например, ExCone, DexCone), включая использование вариантов FourteenHi, специфические ТТП и масштаб атак, специалисты Kaspersky со средней и высокой степенью уверенности полагают, что за описанными в данном отчете действиями стоит APT31, также известный как Violet Typhoon.


Для большинства имплантатов злоумышленник(и) использует(ют) схожие реализации перехвата DLL (часто ассоциируемого с вредоносным ПО Shadowpad) и техники инъекции в память, а также использует RC4-шифрование для сокрытия полезной нагрузки и уклонения от обнаружения. Кроме того, для реализации зашифрованных C2-коммуникаций к имплантам статически подключались libssl.dll или libcurl.dll.

Indicators of Compromise

IPv4

  • 103.221.222.133
  • 193.109.78.243
  • 193.124.112.206
  • 194.87.95.125
  • 81.28.13.74

Domains

  • apps.onlinemapservices.com
  • booking-onlines.com
  • edit.onlinemapservices.com
  • freetranslatecenter.com
  • help.freetranslatecenter.com
  • help.onlinemapservices.com
  • onlinemapservices.com
  • onlinenewscentral.com
  • search.onlinemapservices.com

URLs

  • http://sfb.odk-saturn.com/dialin/login

MD5

  • 03c74722a8e6e5e7ea0a5ed0c9f23696
  • 0e69850a0f67165d4e3d06987d14b2e6
  • 19bc4620fb5da10192676f01c3dc71b3
  • 1a1b8efe8d72984c4744662d2d233c02
  • 1dbc1defc2ac6578d83d5c45d9836482
  • 22e66e0be712f2843d8db22060088751
  • 2a1cfa6d17627eaaa7a63f73038a93da
  • 2db858c4ca836120d3124eb5490195ea
  • 2f5c889a819cfe0804005f7ce5fd956e
  • 36a029cb62bfcb86394b49e5acf36bef
  • 3a532b8481f22b78abc718ac5cdb3f06
  • 3e22e7f5a6ee0a7d3d9a5cbfa7939c98
  • 4c1adc1778ce07cd655db129af1da7e0
  • 4d5963b7d931a02265ea5231961935e9
  • 5137c61734e2096018cee99149dac009
  • 5660cb556d856d081a3dcd497549f47a
  • 5c3a88073824a1bce4359a7b69ed0a8d
  • 71d919105627c67ab9fb9a7152015cf6
  • 7332710d10b26a5970c5a1ddf7c83fba
  • 8ba9ee9fd6bd4b9304f7fb868ce975d8
  • 971b0687c8281778b28721239801084e
  • 976b59f170136b9c3c88bd9a8fc4ce4e
  • 9f402f0b2c84ed577e9ee76dcf640b70
  • a05d6d7a6a1e9669fc4c61223da3953f
  • bb02a5d3e8807d7b13be46ad478f7fbb
  • c929dcc69cf6546d56c2a68d31d7728d
  • d2d7fd5c7372cd81d6bc4199f211a42c
  • d6cc6a4af4720daf8eee0835d6e5d374
  • d75c7bd965c168d693ce8294138136ae
  • ee8afc6f3bb68f86a64fc6389f2edc3f
  • f8553382de7e1e349d8e91edb7c57953
  • fff248db8066ae3d30274996baeddab6
Комментарии: 0
Похожие записи
0
6 часов
IOC

EncryptHub APT IOCs - Part 2

security
Угроза EncryptHub обнародована, когда команда разведки угроз KrakenLabs и Outpost24 провели исследование о его деятельности. EncryptHub стал все более популярным и развивающимся киберпреступником.
0
1 день
IOC

TookPS распространяется под видом UltraViewer, AutoCAD и Ableton.

security
Исследование, проведенное в начале марта Kaspersky Lab, описывает несколько вредоносных кампаний, использующих систему DeepSeek LLM в качестве приманки, и раскрывает новые аспекты вредоносной программы TookPS.
0
2 дня
IOC

Партнеры Qilin атаковали администратора MSP ScreenConnect, нацеливаясь на клиентов.

security
В январе 2025 года администратор поставщика управляемых услуг (MSP) получил фишинговое письмо, представлявшее собой предупреждение об аутентификации для удаленного мониторинга и управления (RMM) инструмента ScreenConnect.
0
3 дня
Articles

Практические проблемы атрибуции APT в случае с подгруппой Lazarus

security
Lazarus- это название, относящееся не к одной атакующей группе, а к совокупности многих подгрупп. Это название первоначально относилось к деятельности одной группы или группы очень ограниченного размера