Главная страница » Индикаторы компрометации
0
11 месяцев
Индикаторы компрометации

Void Arachne APT IOCs

security

Группа злоумышленников, известная под названием Void Arachne, была обнаружена в начале апреля этого года и оказалась направленной на атаку китайскоязычных пользователей. Они использовали вредоносные файлы MSI, которые содержали легитимные файлы установщиков программного обеспечения для искусственного интеллекта (ИИ) и другого популярного ПО.

Вредоносная нагрузка Winos была включена вместе с нудификаторами и программами deepfake-порнографии, а также с языковыми пакетами и программным обеспечением, распространяемым на китайском языке, такими как LetsVPN и QuickVPN. В процессе установки также устанавливался бэкдор Winos, что могло привести к полной компрометации системы.

Во время кампании группы Void Arachne было замечено множество вредоносных файлов, распространяемых через Telegram. Также обнаружены веб-серверы, под контролем злоумышленников, которые использовали атаки SEO для распространения вредоносных файлов. Эти файлы MSI действовали как инсталляторы с обратным доступом, которые могли полностью компрометировать систему. Они были распространены через поддомены домена webcamcn[.]xyz.

Кампания Void Arachne также использовала технологию VPN в своих атаках, притворяясь провайдерами VPN и проводя спирфишинг через Telegram-каналы. Интерес общественности к использованию VPN для обхода Великого китайского файервола, который регулирует интернет-соединение в Китае, стал привлекательным для злоумышленников.

Использование VPN и различных техник фишинга и отравления SEO помогали группе Void Arachne распространять свои вредоносные файлы среди китайскоязычных пользователей. Они даже скачивали и выполняли архивные файлы и MSI-инсталляторы, ожидая получить нужное программное обеспечение, в то время как на самом деле устанавливалось дополнительное вредоносное ПО и устанавливалось соединение с контрольно-управляющим сервером злоумышленников.

Эта кампания является примером того, как злоумышленники используют различные методы распространения вредоносного ПО, такие как SEO-травление и спирфишинг через платформы социальных сетей, чтобы добиться своих целей. Важно быть осторожным при скачивании и установке программного обеспечения с ненадежных источников, а также обращать внимание на потенциальные признаки фишинга и отличать поддельные веб-сайты от легитимных.

Содержание
  1. Indicators of Compromise
  2. Domains
  3. SHA256

Indicators of Compromise

Domains

  • 103.214.147.101.webcamcn.xyz
  • 103.214.147.14.webcamcn.xyz
  • 156.248.54.11.webcamcn.xyz
  • 98.159.98.114.webcamcn.xyz
  • hm.webcamcn.xyz
  • hm2.webcamcn.xyz

SHA256

  • 023822a8ad26f2d7330a2afa310ccf943058f2765b7cbc6975c51c144739b55f
  • 03669424bdf8241a7ef7f8982cc3d0cf56280a5804f042961f3c6a111252ffd3
  • 11a96c107b8d4254722a35ab9a4d25974819de1ce8aa212e12cae39354929d5f
  • 16d3c176ca94c84b60e26981231bf59ebe75057ac10dd6f583ce65a3bed11dd0
  • 186bf42bf48dc74ef12e369ca533422ce30a85791b6732016de079192f4aac5f
  • 1dbb3d08931aac2a76c9a72fe38d038e172b29f898acaf5db1ec91e180f7ec22
  • 1e8e2dbac76dd41afd990949059832467b425521147ca4281e8958076daf2c83
  • 202c378deb628a8104a1dd957bbd70b945beea8e11d55b9ce3e4787fbe496797
  • 2066dd040fe020ca32e5ebfeeb4fa75094d3ac43155c83fe222f380d4940df42
  • 29097fab695ba54082d64fd31a511d93ee16ee94039282afd7e63dd661f5654b
  • 2d1904dfc5a555b8bfdd4fa2db46d532e19479fd99affb169449ff2a2a4b459a
  • 342dbf7c84e35622f680d65e15a82ccd0f0938fa38ef29292db81d71f9f4de45
  • 3ac0afec0ce29b69d57c54663c6e4fa6fee703696069cb5b8f00783b5504cf80
  • 409e09ac0fcf7d39044ef0b3eb798aea6dc0650e5214056760694c1340fc8488
  • 41f827e6addfc71d68cd4758336edf602349fb1230256ec135121f95c670d773
  • 436499efe94c7a1bfefaa84c52f8187bffb3d4d1a49de1cbc8885e7807d11b42
  • 437d6223c13675c1824bc4b17cd0986cbffb1f87cd1cf6a72560bef1e51eb62b
  • 44abf0cadee82f049bbc3dfeb8277529d3650f6f76fb76e00ec65228b8ec21e6
  • 4791c23aff8a09061b76a05bb88ee37149995584a87aade236ea4eebab79ed1c
  • 47dfa891fc347187ba4ac161980a7e7c47cf656ddbf7b269a74c32a5a1365d4e
  • 49120dfcef430df1c90c9c370b92b969c876b9b4327d81eae720cd71fcd75b87
  • 4b323ab024562e6f25eb91c7bbcd3f752f67ed5274dd83cf45b9d55aa0f37522
  • 4e54ddbfcbbf78d031d9743be4229171554fbca5aafb5f2a924e59435b79e858
  • 538382dc7a7839f125ffe08a854512b78fc4a657697227e53f832ae566ca2505
  • 5684fc4f33c168519b2fdcae59cc3be2e6db1f0b0f3718524ef57e0e7423f59d
  • 5759fc938f228579fc5e64e74cee083581a975d4054deb715c0f371b66b96263
  • 5a98acbd41f0dd445fc60246be9738f73a090379e5d320b06801bb3cb5b75a7f
  • 5abc2006c7a3a27e033075ba881a668aba5e70797677ed2220f7ab9fb36fc927
  • 5bf7821b32bf188e0890f56dc5c832651c7cb35328029f6b87d47328376d4d13
  • 5f7e00017b16db29fa7cba60993d7af909ef41d3fe9d3f7ca9f693c1f7ef6d37
  • 611341e64eb6864e3b3b9cd0cb433bb5ff185a8158174ee02aea9307216ee96d
  • 616c7270a21ecc9ccd880e04563343e9ac53cce88a77244388dbb1fc7bfa4360
  • 61981a0324586ad83e6cb7015df91a6e4887537ad36a4674be82cb3cfcf5b18b
  • 61d73a8920c41483d0832c9a5c5bc9f57ac5f71146a98faefc0cb4d988e77bab
  • 65ac9f036b1d8a02e4c9041eeafc230562088e57f2535bd194e8bf592e62cb06
  • 6776a4680f26756100f4b65e326e726bbdb4f35a8b906069b0489ebae7955160
  • 6ce947e21128687ed37f247e297f29609251deed934b7b5722d27f4a1f72a90e
  • 6ece1e12d50ade02bf424007a9b70b4a14580244a9a1f5cd32c0a129ec069d6e
  • 6f5574d00ffce206525835f72ac083692a183e69114f1551b7ecb99dec3d1d19
  • 6f923b94a614e61cbde73c5b09036b9482f3770c02161ecb0875dbb56bc65843
  • 768881a43d2ffd9701bf2e241a1d59d8a0c116cf20e27a632a8b087bb81de409
  • 78f86c3581ae893e17873e857aff0f0a82dcaed192ad82cd40ad269372366590
  • 7a3841a5315c01df299d8844b62dc150b1c3e5b5ebe7547c1a211349879659af
  • 7ed8c7ea5e2feeadb1966f53c48ab3a580f53a4d20725031d764db7e962607a9
  • 81c30a63161d40fb6df55b6147b2d9577830f08bfc9121ba8574c8bb6ec3a2a2
  • 827ed4f36ea7032395bfa35da54c6e9d06d6633aa7396792e8511adf366c1fcc
  • 8444b6066e4171f49ea18a2cf8992226f1ad683eb2a1828c9f63557156a22d99
  • 84d888ff8691635682c7f612189ac0fd77d13810301fca31c4a1336c1ed8876a
  • 8fc1931fd9206ba78f348a14317cd8be8f135810787b6555a8439fdd65da81a0
  • 976837663b25f793470f24925198b06e79a72ede014a84ba62311fadede5062f
  • 9ca14ae3d4324847a0903f11dcee74164f823bc635f80861e1033af27cb4a1c4
  • a12cb2d529a95798160114bdb6fb389553d3cc1d8bd10a5c8295d5a0c74e257c
  • aa7cc08e0b29cd9022cde6b0c9307cb2f93365d098f71fb37478339daff80714
  • acd98cfbe4cc1c19441eac76e7bba60a57eb1d68634b1f912fdc519fb1e0fdf1
  • b022e0f0b2ae9e27847cfc909bfcdbc89a732fcdde6e473443aaab2592a84910
  • b330ccb0877b27bd67966bb9ad86d3f2ce3d59c67493f9ce152f13d92f4b3de6
  • b396bfd7bec043cf402e04fa810983c93c79d1a632fd4558098e68eb144abb17
  • b71e6c4ff7c910dd666f442e98597f90bd2eb3fce4c8889af0ecc694f282bf64
  • bc01cf528086de6a1b231dee01c1624cf58911b171904bf7a6b08ddfba661d83
  • bd462515ea9ffe66fc27d9baa0fcc4bf733385829c2fc5676129aaeeb2e0af88
  • c0aa7b470e2e76ba0aaa65de2257aec5ff23485115f38b7a7a1285067c69e0e8
  • c61c8ded2a9481c2e50b4872c8f7bcd8ecc33997a6004e62aa06b60742f54e57
  • cdceea00a5f53e49063c455eea3f6a62c0713d01813a55a2427ad758d11a15bf
  • cdf8a481d305d87661b440c717c6095154cd519b3ec302eea32279de28162044
  • d2e15264c786917a6cb194bf0cf586a69b8678c6d4d4c87cc14082d7b76fe0b2
  • d555bc8a99c7ae22302201f1bae997aa9539502728a419e63c03f329c364a32c
  • e5ae87f46ff88c819ff236f0f290c7c6bda3e80019db093d35cae6b087d528ae
  • ecf5394d78392b11daec1016c6b447f9da7eae69f7702ecf8c4d1d3f69e3fe64
  • eecc00360b0a0649d954da34ef1b8212dc6a9bf74b8624882aaa97209b97b582
  • f18896c3016ea675f092502604dd85a61b990c5d6c1eba40f34ef57e4315cdab
  • f6216d72f4d9a7d46f3b878650b2f26982e4f05b8b5ce363a60c564159db781f
  • fae4f96beda54a1ed4914537b0542182d3a020dd9db9d9995df37d303b88e6df
  • fbc23b84b2c83e99ab1c5cb7075bd5d26b55dde4afc06eddc0471c6d6b2cc5f2
  • ffafc11d8569f1df18da1bf41571870ca84e8f59b193d85631bbad8dfbf7334b
Комментарии: 0
Похожие записи
0
12 часов
Индикаторы компрометации

TA406 начал атаковать правительственные организации

security
Группа TA406 начала атаки на правительственные организации в Украине в феврале 2025 года, используя фишинговые кампании для сбора учетных данных и распространения вредоносного ПО.
0
12 часов
Индикаторы компрометации

Earth Ammit нарушает цепочки поставок дронов с помощью скоординированных многоволновых атак на Тайване

security
Компания Trend Micro Research обнаружила развивающуюся угрозу игрока Earth Ammit, связанную с китайскоязычными APT-группами, которая запустила кампании TIDRONE и VENOM в 2023-2024 годах.
0
12 часов
Индикаторы компрометации

Государственные злоумышленники используют SAP NetWeaver (CVE-2025-31324) для атак на критически важные инфраструктуры

security
Аналитики компании EclecticIQ заявляют о кампаниях эксплуатации с использованием угрозы APT, принадлежащих китайским государствам в апреле 2025 года.
0
2 дня
Индикаторы компрометации

Фишинг на стороне сервера: кампании по краже учетных данных скрываются от посторонних глаз

phishing
Киберпреступники активно совершенствуют методы фишинга, переходя на серверные проверки украденных логинов и паролей, чтобы усложнить обнаружение атак. В новой кампании злоумышленники копируют корпоративные