近期值得关注的IOC（2024-08-01）

2024-08-01 情报共享

域名

42o.oss-cn-beijing.aliyuncs.com

service-88oyn3gj-1309348799.bj.tencentapigw.com.cn

URL

hxxp://123.207.74.22:11443/mall_100_100.html

https://42o.oss-cn-beijing.aliyuncs.com/i.dat

hxxps://124.225.127.200/static/vendor.5398c8aa.js

hxxps://124.225.127.202/static/vendor.5398c8aa.js

hxxps://124.225.45.224/static/vendor.5398c8aa.js

hxxps://150.242.56.252/static/vendor.5398c8aa.js

hxxps://218.77.199.228/static/vendor.5398c8aa.js

hxxps://119.0.107.231/static/vendor.5398c8aa.js

IP及端口

123.207.74.22:11443

文件HASH

e29df5daf1eaa99a5345c268b42ebeb7

20240730人员名单信息.zip

feeaf4047ff57528da5e90da3c108b2c

32-109.exe

ee22812be16b8063fca0679dbe317847

**金融业务部招聘jd&福利.zip

f6563771ae1412eddd2d3424832bfbb1

全球薪酬支付服务业务合作需求材料.rar

e4ad13a516a18b15981977ea908891f9

表格.exe

a706bae1e9f1ddfeba557a8bfd349946

7月报集团文件及集团下发文件.exe

b40331bf1b6f2108e3ac6b61c6d39161

**管理部保留权限人员名单.zip

攻击者IP归属研判

对象1

攻击者IP：58.33.178.131

最近活跃时间：2024-07-30 ~ 2024-07-30

地理位置：中国-上海市-上海市

活跃行业：水电、轮渡

能力评价：定向漏洞进行攻击，疑似某安全公司从业人员。

攻击利用特征：针对 oa 漏洞进行攻击，如蓝凌 KEP 前台 RCE 漏洞，发现的攻击量不多，推测为信息收集判断出指纹后，使用 poc 批量利用攻击。

近期攻击行为：蓝凌 KEP 前台 RCE 漏洞。

对象2

攻击者IP：122.231.240.108、125.118.234.143、115.205.5.143

最近活跃时间：2024-07-24 ~ 2024-07-30

地理位置：中国-浙江省-杭州市

活跃行业：交通

使用工具：Burp、Behinder。

能力评价：专项期间新启用多个基础设施，对交通运输行业存在极强针对性。

近期攻击行为：漏洞扫描。

对象3

攻击者IP：203.15.10.241

最近活跃时间：2024-07-22 ~ 2024-07-30

地理位置：中国-福建省-福州市

活跃行业：能源、电力等

能力评价：专项期间新启用基础设施，疑似使用某安全公司扫描器，存在对多个重点单位的 mail 子域名的信息收集行为。

近期攻击行为：漏洞扫描。

攻击利用特征：baidutest.xyz。

对象4

攻击者IP：106.39.40.195

最近活跃时间：2024-07-25 ~ 2024-07-30

地理位置：中国-北京市

活跃行业：政府

能力评价：近期活跃起来的攻击者且针对政府网站进行攻击。

攻击利用特征：使用 dgrh3.cn、oast.live 等公共隐蔽链路进行探测攻击。攻击量很大，推测为扫描器。

近期攻击行为：扫描攻击。

对象5

攻击者IP：106.75.47.74

最近活跃时间：2024-07-29 ~ 2024-07-31

地理位置：中国-北京市

活跃行业：教育、政府

使用工具：interactsh。

能力评价：专项期间新启用基础设施，针对教育、政府网站发起信息泄露扫描攻击。

近期攻击行为：信息泄露扫描。

对象6

攻击者IP：118.178.230.190、118.178.230.121、118.178.230.213、118.178.230.146

最近活跃时间：2024-07-25 ~ 2024-07-30

地理位置：中国-浙江省-杭州市

活跃行业：能源、资源政务

使用工具：nmap。

攻击利用特征：mail-sec.info 隐蔽链路，该域名具有一定的隐蔽钓鱼性质。相关解析始于2023年10月，但相关解析记录一直较少，于7月份出现较多相关隐蔽链路解析记录。

能力评价：专项期间新启用多个基础设施，IP属于数据中心，DNS解析记录较少。

近期攻击行为：漏洞扫描。

关于红雨滴云沙箱

红雨滴云沙箱是威胁情报中心红雨滴团队基于多年的APT高级攻防对抗经验、安全大数据、威胁情报等能力，使用软、硬件虚拟化技术开发实现的真正的“上帝模式”高对抗沙箱，协助奇安信威胁情报中心及相关安服和客户发现了多个在野0day漏洞攻击、nday漏洞攻击，和无数计的APT攻击线索及样本，是威胁情报数据产出的重要基石，并被业内权威威胁分析厂商VirusTotal所集成。

点击“原文链接”，即刻探寻红雨滴云沙箱，现****面向ALPHA全部注册用户免费开放限时两个月的红雨滴云沙箱报告下载权限，用户无需登录可直接投递样本！