Главная страница » IOC
0
3 года
IOC

ZxxZ RAT IOCs

remote access Trojan

Cisco Talos обнаружила продолжающуюся с августа 2021 года вредоносную кампанию APT-группы Bitter, направленную на пользователей из Бангладеш, что отличается от обычных жертв злоумышленников. В рамках этой кампании появился новый троян, основанный на Apost Talos и называемый "ZxxZ", который, среди прочих функций, включает возможность удаленного выполнения файлов. На основании сходства сервера C2 этой кампании с сервером предыдущей кампании Bitter, Cisco Talos с умеренной уверенностью оценивает, что эта кампания управляется APT-группой Bitter.

ZxxZ RAT

Cisco Talos обнаружила кампанию, проводимую, по нашему мнению, APT-группой Bitter с августа 2021 года. Эта кампания является типичным примером того, как злоумышленники атакуют государственные структуры Южной Азии.

Эта кампания нацелена на элитное подразделение правительства Бангладеш с тематическим документом-приманкой, якобы относящимся к обычным оперативным задачам в организации жертвы. Документ-приманка представляет собой фишинговое электронное письмо, отправленное высокопоставленным офицерам подразделения батальона быстрого реагирования полиции Бангладеш (RAB). Письма содержат либо вредоносный документ RTF, либо электронную таблицу Microsoft Excel, использующую известные уязвимости. Как только жертва открывает maldoc, автоматически запускается приложение Equation Editor для запуска встроенных объектов, содержащих шеллкод для эксплуатации известных уязвимостей, описанных CVE-2017-11882, CVE-2018-0798 и CVE-2018-0802 - все в Microsoft Office - затем загружает троян с хостинг-сервера и запускает его на машине жертвы. Троян маскируется под службу обновления Windows Security и позволяет злоумышленнику выполнить удаленное выполнение кода, открывая возможность для других действий путем установки других инструментов. В этой кампании троян работает сам по себе, но в арсенале злоумышленника есть и другие RAT и программы-загрузчики.

Такие кампании слежки могут позволить получить доступ к конфиденциальной информации организации и дать их кураторам преимущество перед конкурентами, независимо от того, спонсируются ли они государством.

APT-группа Bitter

Bitter также известный как T-APT-17, действуют с 2013 года, атакуя энергетический, инженерный и государственный секторы в Китае, Пакистане и Саудовской Аравии. В своей последней кампании они распространили свои атаки на государственные структуры Бангладеш.

Основным мотивом Bitter является шпионаж. Противник обычно загружает вредоносное ПО на скомпрометированные конечные точки со своего хостинг-сервера через HTTP и использует DNS для установления контакта с центром управления. Bitter известен тем, что использует известные уязвимости в средах жертв. Например, в 2021 году исследователи безопасности обнаружили, что использует уязвимость нулевого дня CVE-2021-28310, дефект безопасности в Microsoft Desktop Manager. Известно, что Bitter атакует как мобильные, так и настольные платформы. В их арсенале в основном Bitter RAT, загрузчик Artra, SlideRAT и AndroRAT.

Indicators of Compromise

IPv4

  • 99.83.154.118

Domains

  • autodefragapp.com
  • helpdesk.autodefragapp.com
  • levarisnetqlsvc.net
  • mswsceventlog.net
  • olmajhnservice.com
  • tomcruefrshsvc.com
  • urocakpmpanel.com

URLs

  • http://autodefragapp.com/
  • http://levarisnetqlsvc.net/
  • http://levarisnetqlsvc.net/drw/drw
  • http://levarisnetqlsvc.net/jig/gij
  • http://levarisnetqlsvc.net/lt.php
  • http://olmajhnservice.com/
  • http://olmajhnservice.com/nt.php
  • http://olmajhnservice.com/nt.php/
  • http://olmajhnservice.com/nt.php/?dt=
  • http://olmajhnservice.com/nt.php/?dt=%25username%25-EX-3ct=1
  • http://olmajhnservice.com/nt.php?dt=%25computername%25-ex-1&amp
  • http://olmajhnservice.com/nxl/nx
  • http://olmajhnservice.com/nxl/nx/
  • http://olmajhnservice.com/updateReqServ10893x.php?x=035347
  • http://urocakpmpanel.com/
  • http://urocakpmpanel.com/axl/ax
  • http://urocakpmpanel.com/nt.php/?dt=%25computername%25-****
  • http://urocakpmpanel.com/nt.php?dt=%25computername%25-****
  • http://urocakpmpanel.com:33324/
  • https://levarisnetqlsvc.net/lt.php
  • https://levarisnetqlsvc.net/lt.php/?dt=%25computername%25-LT-2&ct=LT
  • https://olmajhnservice.com/
  • https://olmajhnservice.com/nt.php/
  • https://olmajhnservice.com/nt.php/?dt=%25computername%25-BKP&ct=BKP
  • https://olmajhnservice.com/nt.php/?dt=%25computername%25-EX-1
  • https://olmajhnservice.com/nt.php/?dt=%25computername%25-EX-1&amp
  • https://olmajhnservice.com/nt.php/?dt=%25computername%25-EX-1&ct=1
  • https://olmajhnservice.com/nt.php/?dt=%25computername%25-EX-1&ct=1
  • https://olmajhnservice.com/nt.php/?dt=%25computername%25-EX-2&ct=2
  • https://olmajhnservice.com/nt.php/?dt=%25computername%25-EX-3&ct=3
  • https://olmajhnservice.com/nt.php/?dt=%25username%25-EX-3&ct=1
  • https://olmajhnservice.com/nt.php/?dt=%25username%25-EX-3&ct=1
  • https://urocakpmpanel.com/
  • https://urocakpmpanel.com/nt.php
  • https://urocakpmpanel.com/nt.php/?dt=%25computername

SSL Certificate SHA-1

  • 04a75df9b60290efb1a2d934570ad203a23f4e9c
  • 0cbf8c7ff9faf01a9b5c3874e9a9d49cbbf5037b
  • 25092b60d972e574ed593a468564de2394fa008b
  • 4fbde39a0735d1ad757038072cf541dfdc65faa3
  • 530f597666afc147886f5ad651b5071d0cc894ba
  • 5a972665b590cc77dcdfb4500c04acda5dc1cc4e
  • aeb02ac0c0f0793651f32a3c0f594ce79ba99e82

SHA1

  • 04a75df9b60290efb1a2d934570ad203a23f4e9c
  • 0cbf8c7ff9faf01a9b5c3874e9a9d49cbbf5037b
  • 25092b60d972e574ed593a468564de2394fa008b
  • 4fbde39a0735d1ad757038072cf541dfdc65faa3
  • 530f597666afc147886f5ad651b5071d0cc894ba
  • 5a972665b590cc77dcdfb4500c04acda5dc1cc4e
  • aeb02ac0c0f0793651f32a3c0f594ce79ba99e82

SHA256

  • 3fdf291e39e93305ebc9df19ba480ebd60845053b0b606a620bf482d0f09f4d3
  • 490e9582b00e2622e56447f76de4c038ae0b658a022e6bc44f9eb0ddf0720de6
  • 69b397400043ec7036e23c225d8d562fdcd3be887f0d076b93f6fcaae8f3dd61
  • 90fd32f8f7b494331ab1429712b1735c3d864c8c8a2461a5ab67b05023821787
  • b0b687977eee41ee7c3ed0d9d179e8c00181f0c0db64eebc0005a5c6325e8a82
  • b7765ff16309baacff3b19d1a1a5dd7850a1640392f64f19353e8a608b5a28c5
  • ce922a20a73182c18101dae7e5acfc240deb43c1007709c20ea74c1dd35d2b12
  • e4545764e0c54ed1e1321a038fa2c1921b5b70a591c95b24127f1b9de7212af8
  • f7ed5eec6d1869498f2fca8f989125326b2d8cee8dcacf3bc9315ae7566963db
  • fa0ed2faa3da831976fee90860ac39d50484b20bee692ce7f0ec35a15670fa92
Комментарии: 0
Похожие записи
0
3 дня
IOC

Члены Black Basta (RaaS) использовали автоматизированную систему грубого форсирования, чтобы атаковать пограничные сетевые устройства

security
11 февраля 2025 года русскоязычный актер, использующий Telegram-аккаунт @ExploitWhispers, опубликовал в сети журналы внутренних чатов группы Black Basta Ransomware-as-a-Service (RaaS).
0
3 дня
IOC

INDOHAXSEC APT IOCs

security
INDOHAXSEC - новый индонезийский хакерский коллектив, обнаруженный компанией Arctic Wolf Labs. Они активно проводили кибератаки на малазийских чиновников, используя методы распределенного отказа в обслуживании (DDoS) и выкупного ПО.
0
3 дня
IOC

Head Mare и Twelve объединяют усилия для атаки на российские организации

security
В сентябре 2024 года российские компании стали объектами серии атак, которые обнаружили признаки компрометации, связанные с двумя хактивистскими группами - Head Mare и Twelve.