TAG-112 APT IOCs
securityIOC
В мае 2024 года сайты, связанные с тибетским сообществом, были взломаны предполагаемой китайской государственной группой угроз под названием TAG-112, что привело к тайному развертыванию Cobalt Strike, распространенного инструмента тестирования на проникновение, используемого не по назначению для кибершпионажа.
SEC-1275-1
Уклонение от EDR раскрывает инструментарий злоумышленников
securityIOC
Исследователи из компании Unit 42 в результате инцидента вымогательством обнаружили набор инструментов, предназначенный для обхода антивирусных систем и систем обнаружения и реагирования на конечные точки (AV/EDR).
SEC-1275-1
Palo Alto обнаружила четыре новые кампании по использованию DNS-туннелей
securityIOC
Исследователи из компании Palo Alto Networks обнаружили четыре ранее не публиковавшиеся кампании DNS-туннелирования, получившие названия FinHealthXDS, RussianSite, 8NS и NSfinder.
SEC-1275-1
Storm-0501 APT IOCs
securityIOC
Компания Microsoft обнаружила, что киберпреступная группировка под ником Storm-0501 провела сложную атаку на гибридные облачные среды, используя латеральное перемещение и причинив страшный ущерб различным секторам экономики США. Storm-0501 - финансово мотивированная группировка, которая оперирует с вымогательским
SEC-1275-1
CobaltStrike Beacons IOCs
securityIOC
Исследователи из NTT выявили волну атак, начавшихся в июле 2024 года и использующих технику AppDomain Manager Injection, которая нечасто встречалась в природе. Атаки были направлены на правительственные учреждения Тайваня, военных на Филиппинах и энергетические организации во Вьетнаме.
SEC-1275-1
Продолжающаяся кампания социальной инженерии обновляет полезную нагрузку
securityIOC
Исследователи из Rapid7 обнаружили продолжающуюся кампанию социальной инженерии с участием злоумышленников, которые инициируют атаки, рассылая электронные письма-бомбы и совершая звонки пользователям, убеждая их загрузить и установить AnyDesk, инструмент для удаленного доступа.
SEC-1275-1
GrimResource - консоль управления Microsoft для первоначального доступа и обхода
securityIOC
Исследователи Elastic Security обнаружили новую методику выполнения кода, названную GrimResource, которая использует специально созданные MSC-файлы. Эта техника позволяет злоумышленникам выполнить произвольный код в Microsoft Management Console (mmc.exe) с минимальными предупреждениями безопасности.
SEC-1275-1
IcedID использует ScreenConnect и CSharp Streamer для развертывания вымогательского ПО ALPHV
securityIOC
Исследователи из DFIR Report опубликовали подробный анализ кибервзлома, совершенного в октябре 2023 года с использованием программ-вымогателей IcedID, Cobalt Strike и ALPHV.
SEC-1275-1
Поддельный установщик Advanced IP Scanner поставляет опасный бэкдор CobaltStrike
securityIOC
Команда Trustwave SpiderLabs обнаружила атаку «водопоя», направленную на пользователей, ищущих легитимный инструмент Advanced IP Scanner.
SEC-1275-1
Cobalt Strike IOCs - Part 4
securityIOC
Специалисты FortiGuard Labs Threat Research обнаружили сложную кибератаку, направленную на Украину и использующую многоступенчатую стратегию распространения вредоносного ПО. Атака использует методы уклонения и завершается развертыванием Cobalt Strike, использующего различные API для выполнения полезной
SEC-1275-1