近期值得关注的IOC（2024-08-05）

2024-08-05 情报共享

域名

service-7wu3p58s-1319584009.nj.tencentapigw.com

service-qgezbin5-1319584009.sh.tencentapigw.com

resource-shanghai6.oss-cn-shanghai.aliyuncs.com

URL

https://222.189.172.24/gateway/api/user

文件HASH

2694553347f23e250ed70a8c23096d8f

DS_Store.exe

971c58d091044861571f2026ea53e6b5

关于审议《*****公司安全风险分级管控和隐患排查治理双重预防机制管理规定(2024年修订)》的议案.zip.zip

708191dee7ca97f21100fd264fd14775

采购清单.7z

8ce3642ece6e931cc907d432967d1148

刘梦+**大学+新媒体与传播学专业.zip

25ee1eed790385a3a53ccc252b48fb4

李晓刚-中国货币网信息自主披露平台用户申请表.exe

955841a4d2315422818b47aec6ce51fb

50026D81-****-AA4-**数据无法使用.rar

攻击者IP归属研判

对象1

攻击者IP：121.196.200.91

最近活跃时间：2024-08-01 至 2024-08-01

地理位置：中国-浙江省-杭州市

活跃行业：政府

能力评价：攻击量较少，且攻击目标专一，近期才活跃的攻击者，疑似红队。

攻击利用特征：使用 Alphalog 工具 log4j2 渗透测试，其中有公共隐蔽链路 callback.red。

近期攻击行为：目录扫描、log4j2。

对象2

攻击者IP：101.132.137.180

最近活跃时间：2024-07-26 至 2024-08-05

地理位置：中国-上海市

活跃行业：能源、交通、银行

能力评价：专项期间启用基础设施，攻击具有明显针对性，疑似成功入侵某交通投资集团等目标，具有较强攻击能力，疑似与某安全厂商存在关联。

近期攻击行为：信息探测、漏洞扫描。

对象3

攻击者IP：36.138.173.47

最近活跃时间：2024-07-25 至 2024-08-02

地理位置：中国-上海市

活跃行业：电力建设、银行

能力评价：专项期间启用基础设施，对电力建设相关单位具有极强针对性，对相关单位的大量子域名进行漏洞扫描攻击。

攻击利用特征：y1bs.shop。

近期攻击行为：信息探测、漏洞扫描。

对象4

攻击者IP：211.141.203.70

最近活跃时间：2021-12-01至2024-08-02

地理位置：中国-安徽省-淮北市

活跃行业：安徽地区的网站

能力评价：针对安徽的网站发动扫描攻击，有较强的地域针对性。

攻击利用特征：攻击载荷 url 中使用了公共 DNS 平台 bxss.me，访问了多种黑客工具以及 vpn 相关域名。使用隐蔽链路 defvul.com。

近期攻击行为：漏洞扫描。

对象5

攻击者IP：175.24.229.108

最近活跃时间：2024-07-23 至 2024-07-27

地理位置：中国-上海市

活跃行业：石化、海运、银行

能力评价：专项期间启用基础设施，对石化、海运、银行等目标存在较强针对性。

近期攻击行为：漏洞扫描。

对象6

攻击者IP：106.15.58.47

最近活跃时间：2024-07-30 至 2024-07-31

地理位置：中国-上海市

活跃行业：政府

能力评价：专项期间启用基础设施，对统计局、法院等目标发起攻击。

近期攻击行为：信息探测、漏洞扫描。

关于红雨滴云沙箱

红雨滴云沙箱是威胁情报中心红雨滴团队基于多年的APT高级攻防对抗经验、安全大数据、威胁情报等能力，使用软、硬件虚拟化技术开发实现的真正的“上帝模式”高对抗沙箱，协助奇安信威胁情报中心及相关安服和客户发现了多个在野0day漏洞攻击、nday漏洞攻击，和无数计的APT攻击线索及样本，是威胁情报数据产出的重要基石，并被业内权威威胁分析厂商VirusTotal所集成。

点击“原文链接”，即刻探寻红雨滴云沙箱，现****面向ALPHA全部注册用户免费开放限时两个月的红雨滴云沙箱报告下载权限，用户无需登录可直接投递样本！