长亭百川云 - 文章详情

近期值得关注的IOC(2024-08-01)

奇安信威胁情报中心

92

2024-08-08

2024-08-01 情报共享

域名

42o.oss-cn-beijing.aliyuncs.com

service-88oyn3gj-1309348799.bj.tencentapigw.com.cn

URL

hxxp://123.207.74.22:11443/mall_100_100.html

https://42o.oss-cn-beijing.aliyuncs.com/i.dat

hxxps://124.225.127.200/static/vendor.5398c8aa.js

hxxps://124.225.127.202/static/vendor.5398c8aa.js

hxxps://124.225.45.224/static/vendor.5398c8aa.js

hxxps://150.242.56.252/static/vendor.5398c8aa.js

hxxps://218.77.199.228/static/vendor.5398c8aa.js

hxxps://119.0.107.231/static/vendor.5398c8aa.js

IP及端口

123.207.74.22:11443

文件HASH

e29df5daf1eaa99a5345c268b42ebeb7

20240730人员名单信息.zip

feeaf4047ff57528da5e90da3c108b2c

32-109.exe

ee22812be16b8063fca0679dbe317847

**金融业务部招聘jd&福利.zip

f6563771ae1412eddd2d3424832bfbb1

全球薪酬支付服务业务合作需求材料.rar

e4ad13a516a18b15981977ea908891f9

表格.exe

a706bae1e9f1ddfeba557a8bfd349946

7月报集团文件及集团下发文件.exe

b40331bf1b6f2108e3ac6b61c6d39161

**管理部保留权限人员名单.zip

攻击者IP归属研判

对象1

攻击者IP:58.33.178.131

最近活跃时间:2024-07-30 ~ 2024-07-30

地理位置:中国-上海市-上海市

活跃行业:水电、轮渡

能力评价:定向漏洞进行攻击,疑似某安全公司从业人员。

攻击利用特征:针对 oa 漏洞进行攻击,如蓝凌 KEP 前台 RCE 漏洞,发现的攻击量不多,推测为信息收集判断出指纹后,使用 poc 批量利用攻击。

近期攻击行为:蓝凌 KEP 前台 RCE 漏洞。

对象2

攻击者IP:122.231.240.108、125.118.234.143、115.205.5.143

最近活跃时间:2024-07-24 ~ 2024-07-30

地理位置:中国-浙江省-杭州市

活跃行业:交通

使用工具:Burp、Behinder。

能力评价:专项期间新启用多个基础设施,对交通运输行业存在极强针对性。

近期攻击行为:漏洞扫描。

对象3

攻击者IP:203.15.10.241

最近活跃时间:2024-07-22 ~ 2024-07-30

地理位置:中国-福建省-福州市

活跃行业:能源、电力等

能力评价:专项期间新启用基础设施,疑似使用某安全公司扫描器,存在对多个重点单位的 mail 子域名的信息收集行为。

近期攻击行为:漏洞扫描。

攻击利用特征:baidutest.xyz。

对象4

攻击者IP:106.39.40.195

最近活跃时间:2024-07-25 ~ 2024-07-30

地理位置:中国-北京市

活跃行业:政府

能力评价:近期活跃起来的攻击者且针对政府网站进行攻击。

攻击利用特征:使用 dgrh3.cn、oast.live 等公共隐蔽链路进行探测攻击。攻击量很大,推测为扫描器。

近期攻击行为:扫描攻击。

对象5

攻击者IP:106.75.47.74

最近活跃时间:2024-07-29 ~ 2024-07-31

地理位置:中国-北京市

活跃行业:教育、政府

使用工具:interactsh。

能力评价:专项期间新启用基础设施,针对教育、政府网站发起信息泄露扫描攻击。

近期攻击行为:信息泄露扫描。

对象6

攻击者IP:118.178.230.190、118.178.230.121、118.178.230.213、118.178.230.146

最近活跃时间:2024-07-25 ~ 2024-07-30

地理位置:中国-浙江省-杭州市

活跃行业:能源、资源政务

使用工具:nmap。

攻击利用特征:mail-sec.info 隐蔽链路,该域名具有一定的隐蔽钓鱼性质。相关解析始于2023年10月,但相关解析记录一直较少,于7月份出现较多相关隐蔽链路解析记录。

能力评价:专项期间新启用多个基础设施,IP属于数据中心,DNS解析记录较少。

近期攻击行为:漏洞扫描。

关于红雨滴云沙箱

红雨滴云沙箱是威胁情报中心红雨滴团队基于多年的APT高级攻防对抗经验、安全大数据、威胁情报等能力,使用软、硬件虚拟化技术开发实现的真正的“上帝模式”高对抗沙箱,协助奇安信威胁情报中心及相关安服和客户发现了多个在野0day漏洞攻击、nday漏洞攻击,和无数计的APT攻击线索及样本,是威胁情报数据产出的重要基石,并被业内权威威胁分析厂商VirusTotal所集成。

点击“原文链接”,即刻探寻红雨滴云沙箱,现****面向ALPHA全部注册用户免费开放限时两个月的红雨滴云沙箱报告下载权限,用户无需登录可直接投递样本!

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2