TTL OSINT
УПРАВЛЯЙТЕ РИСКАМИ — НЕ ЖДИТЕ АТАК
Пентест для устойчивости и соответствия требованиям
Реалистичная проверка внешнего периметра: выявляем уязвимости до злоумышленников и подтверждаем готовность вашего бизнеса к киберугрозам.
ПротестироватьКриптовалютные приманки и Pupy RAT: анализ кампании UTG-Q010
В мае 2024 года Центр анализа угроз QiAnXin обнаружил кампанию, организованную финансово мотивированной группой продвинутых постоянных угроз (APT) из Восточной Азии под названием UTG-Q-010. Деятельность группы началась в конце 2022 года и была сосредоточена на фармацевтической промышленности. Они использовали сложные фишинговые электронные письма с логически структурированным контентом, чтобы заманить отделы кадров к открытию вредоносных файлов LNK. Группа также использовала сайты-обманщики в сфере криптовалют и искусственного интеллекта для распространения вредоносных APK-файлов. Недавно СИРИЛ обнаружил образцы, относящиеся к UTG-Q-010, которые были нацелены на энтузиастов криптовалюты с помощью сложной фишинговой атаки с использованием zip-файла, содержащего вредоносный файл LNK. Файл LNK, замаскированный под заманчивое приглашение на мероприятие, выполняет команды для расшифровки и удаления библиотеки DLL-загрузчика в системе, которая идентифицируется как PupyRAT с открытым исходным кодом. В кампании используется приманка, связанная с вымышленным событием под названием "Мишленовская ночь: Праздник дружбы Coin Circle", предназначенная для людей, занимающихся торговлей криптовалютами, или тех, кто интересуется криптовалютным сектором. Библиотека DLL загрузчика обладает усовершенствованными механизмами обхода защиты, что указывает на то, что UTG-Q-010 постоянно совершенствует свои инструменты. Конечная полезная нагрузка расшифровывается и выполняется после успешной загрузки и временного сохранения как rname.dat в папке Temp.
Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.
Ссылка:https://cyble.com/blog/analysing-the-utg-q-010-campaign/
Выборочные показатели Compromise:
- https://chemdl.gangtao.live/down_xia.php
- c9c5bb8acb89ba11e7813b59aad5d3de6d0d4f38839d4a7a74636ce9c9c6ecea
- 9db229a5de265081dc4145be84f23d2f71744967c044b2f10d4a934ec28166db
- https://malaithai.co/lzh.zip
- 103.79.76.40
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.
CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал
