Главная страница » IOC
0
1 год
IOC

Yellow Liderc APT IOCS

security

Начиная с 2019 года PwC отслеживает базирующегося в Иране агента, которого PwC обозначает как Yellow Liderc (он же Imperial Kitten, Tortoiseshell, TA456, Crimson Sandstorm). Как сообщалось в наших предыдущих публикациях "Год в ретроспективе "1,2,3 , этот угрожающий агент по-прежнему представляет собой активную и постоянную угрозу для многих отраслей и стран, включая морские, судоходные и логистические отрасли в Средиземноморье, атомную, аэрокосмическую и оборонную промышленность в США и Европе, а также поставщиков управляемых ИТ-услуг на Ближнем Востоке.

  • В период с 2022 по 2023 год угрожающие агенты проводили стратегические веб-компрометации с целью внедрения JavaScript, который снимал отпечатки пальцев с посетителей сайтов и фиксировал местоположение пользователя, информацию об устройстве и время посещения. Целевая аудитория этих атак была сосредоточена в основном на морских перевозках, судоходстве и логистике, при этом некоторым жертвам предлагалось последующее вредоносное ПО, которое PwC назвали IMAPLoader.
  • IMAPLoader - это вредоносная программа с архитектурой .NET, способная снимать отпечатки пальцев с систем жертв с помощью штатных утилит Windows и выступающая в роли загрузчика дальнейшей полезной нагрузки. Он использует электронную почту в качестве канала C2 и способен выполнять полезную нагрузку, извлеченную из почтовых вложений, а также исполняется через развертывание новых сервисов.
  • Ранее PwC уже наблюдали, как Yellow Liderc разрабатывала вредоносное ПО .NET, использующее аналогичные каналы C2 на основе электронной почты и жестко закодированные команды для получения информации об окружении жертвы; однако IMAPLoader выполняется с помощью техники инъекции, известной как "AppDomain Manager Injection".
  • Дополнительный анализ показал широкое распространение фишинговой активности, которая проводилась одновременно со стратегическими веб-компромиссами угрожающего агента. Эта активность используется для доставки вредоносного Excel-файла, содержащего базовый бэкдор на языке Python.

Indicators of Compromise

IPv4

  • 104.238.156.70
  • 162.252.175.142
  • 167.88.166.26
  • 170.130.55.55
  • 178.23.190.74
  • 188.227.58.158
  • 192.254.71.7
  • 192.71.27.170
  • 192.71.27.20
  • 192.71.27.30
  • 193.182.144.185
  • 193.182.144.68
  • 195.20.17.237
  • 195.238.126.132
  • 212.150.236.253
  • 212.29.215.67
  • 216.108.231.123
  • 216.108.237.80
  • 38.60.136.253
  • 45.133.16.108
  • 45.138.27.3
  • 45.155.249.180
  • 64.46.102.11
  • 77.91.74.5
  • 79.132.128.169
  • 83.229.73.203
  • 94.131.114.23
  • 94.131.114.48

Domains

  • cdnpakage.com
  • criticimfreedom.site
  • europetourtravels.link
  • europetourtravels.world
  • fastanalizer.live
  • fastanalytics.live
  • instructables.live
  • login.microsoftonilne.com.oauth2.online
  • loginlive.formsmicrosoftoffice.com.oauth2.live
  • megamodel.studio
  • mentalfloss.live
  • metatransfer.online
  • msofficesign.com
  • myfridgefood.live
  • nirsoft.app
  • nirsoft.ink
  • oauth2.live
  • oauth2.online
  • outlookmicrosoftonline.com
  • prostatistics.live
  • transportorganizationil.shop

Emails

MD5

  • 0df7bda8bfbb5828ca09fff7e70b34b8
  • 20507d265a7495cc1e4ade1e8639666e
  • 366623939b90fdf277b43f457ac7b2ed
  • 50516ccade993979b18d7896ff17c3c9
  • 6bfb2b02992de48a0242a7ff03623205
  • 6d02207c9ce1b3967077065c40eb1bb1
  • 88ed93f824fbc5c73f7b47bf9d32b8e7
  • 97d132f248bc95ea2810a816574756f6
  • a6b68493ace6398f95fc5720b1a16526
  • cb97310e5ca5ebc6a12358e97219487a
  • d009734407d38aac5735d182b0fffc86
  • d9d153b162a8edab7841e9747a086e2c
  • e78142f546f2972117db1d8403d556be
  • ee2de347c90c21e0e6917223c32ac61b

SHA1

  • 01b4ed3e7d026f9b9038e93bb3313602256aaf2f
  • 065a43ffd414f62efd779af4bfb5b9e9290bb3f2
  • 0a3ec309299058c12a579c04d110001b77c311c5
  • 124d3cc91135766d4f93a5527bd323e1c23a3e2a
  • 1860938bb192344df34b2ade9d804c91681d767d
  • 35be50f7f7f47abe64e555cae3088f40b7b3ebbe
  • 48e30cd34178be36d7cfea2479361dd8280e726d
  • 5ceff2dbf7091c3906003bf5b77fd08deb71317e
  • 64c06102653cd94b67417160b1ec61f240cd4d78
  • 8d2a0b8b94a1a0fc1d357737d06809b8aac93165
  • a20e34f575dc2816088d8a6ae0dc9940bd229e95
  • afa40f62a1df6a3949f46a61055be043cf9ff55d
  • c43ae2eaa8b134861f4539b205bf97b4e6b3b857
  • ed7e2cd95b442a290478ae750794f0c346de8e73

SHA256

  • 0ec131ca6fae327202577473137462086b3ce3130896fd8d8db69247ac720f04
  • 1a996d98ab897bbc3a0249ea43afaf841b31396be7cbe61b443a58d1c9aab071
  • 26881615e121584b8814916d2f0228de97439cf6b654fca58b2228ff893fcfbc
  • 32c40964f75c3e7b81596d421b5cefd0ac328e01370d0721d7bfac86a2e98827
  • 3e3effa0388f362e891ccf6f9169f9fb9627698bea5fefa57084353603502886
  • 528f4d63c5abcfd137569e2dda49b5730432fb189ef2263cd6e7222cbb6ccb75
  • 7bf2aaf5f82ba5ed834b6ee270e4a7326a191985ea6cc27bdaba17816d1f2ca9
  • 87ccd1c15adc9ba952a07cd89295e0411b72cd4653b168f9b3f26c7a88d19b91
  • 91526246682b47e5f4e396130f2ff93943fbdcaf742262345fb35ae950f1d2b2
  • 92687d1f47244d3a1d7b02fbccf389b9819fd7cc3a31036ae30c2d4d88a3f266
  • 989373f2d295ba1b8750fee7cdc54820aa0cb42321cec269271f0020fa5ea006
  • 9fcb7dea92ad0fe5fa6d6a5a5bd47caea5d3bc44aee247a001fcefdc56500111
  • cc7120942edde86e480a961fceff66783e71958684ad1307ffbe0e97070fd4fd
  • d3677394cb45b0eb7a7f563d2032088a8a10e12048ad74bae5fd9482f0aead01
  • ebf2ec38ed0c4cd05aaae1bdb4af862294d8bd874f7830c42f6905e94de239cf
Комментарии: 0
Похожие записи
0
1 день
IOC

Кампания CrazyHunter нацелена на критически важные секторы экономики Тайваня

security
Группа вымогателей CrazyHunter стала серьезной угрозой для организаций в Тайване, особенно в сферах здравоохранения, образования и промышленности. Они используют сложные техники, такие как метод "принеси
0
3 дня
IOC

Slow Pisces нацелился на разработчиков с проблемами кодирования и представил новое специализированное вредоносное ПО на Python

security
Slow Pisces - это северокорейская киберпреступная группа, спонсируемая государством КНДР. Они в основном занимаются кражей криптовалюты, нападая на крупные организации в криптовалютном секторе.