长亭百川云 - 文章详情

长亭百川云

技术讨论漏洞库IP 威胁情报在线工具
热门产品
雷池 WAF 社区版
IP 威胁情报
网站安全监测
百川漏扫服务
云堡垒机
百川云
技术文档
开发工具
漏洞库
网安百科
安全社区
CT STACK 安全社区
雷池社区版
XRAY 扫描工具
长亭科技
长亭科技官网
万众合作伙伴商城
长亭 BBS 论坛
友情链接
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服
Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2

近期值得关注的IOC(2024-08-01)

奇安信威胁情报中心

107

2024-08-08

原文链接
markdown-img
预览

2024-08-01 情报共享

域名

42o.oss-cn-beijing.aliyuncs.com

service-88oyn3gj-1309348799.bj.tencentapigw.com.cn

URL

hxxp://123.207.74.22:11443/mall_100_100.html

https://42o.oss-cn-beijing.aliyuncs.com/i.dat

hxxps://124.225.127.200/static/vendor.5398c8aa.js

hxxps://124.225.127.202/static/vendor.5398c8aa.js

hxxps://124.225.45.224/static/vendor.5398c8aa.js

hxxps://150.242.56.252/static/vendor.5398c8aa.js

hxxps://218.77.199.228/static/vendor.5398c8aa.js

hxxps://119.0.107.231/static/vendor.5398c8aa.js

IP及端口

123.207.74.22:11443

文件HASH

e29df5daf1eaa99a5345c268b42ebeb7

20240730人员名单信息.zip

feeaf4047ff57528da5e90da3c108b2c

32-109.exe

ee22812be16b8063fca0679dbe317847

**金融业务部招聘jd&福利.zip

f6563771ae1412eddd2d3424832bfbb1

全球薪酬支付服务业务合作需求材料.rar

e4ad13a516a18b15981977ea908891f9

表格.exe

a706bae1e9f1ddfeba557a8bfd349946

7月报集团文件及集团下发文件.exe

b40331bf1b6f2108e3ac6b61c6d39161

**管理部保留权限人员名单.zip

攻击者IP归属研判

对象1

攻击者IP:58.33.178.131

最近活跃时间:2024-07-30 ~ 2024-07-30

地理位置:中国-上海市-上海市

活跃行业:水电、轮渡

能力评价:定向漏洞进行攻击,疑似某安全公司从业人员。

攻击利用特征:针对 oa 漏洞进行攻击,如蓝凌 KEP 前台 RCE 漏洞,发现的攻击量不多,推测为信息收集判断出指纹后,使用 poc 批量利用攻击。

近期攻击行为:蓝凌 KEP 前台 RCE 漏洞。

对象2

攻击者IP:122.231.240.108、125.118.234.143、115.205.5.143

最近活跃时间:2024-07-24 ~ 2024-07-30

地理位置:中国-浙江省-杭州市

活跃行业:交通

使用工具:Burp、Behinder。

能力评价:专项期间新启用多个基础设施,对交通运输行业存在极强针对性。

近期攻击行为:漏洞扫描。

对象3

攻击者IP:203.15.10.241

最近活跃时间:2024-07-22 ~ 2024-07-30

地理位置:中国-福建省-福州市

活跃行业:能源、电力等

能力评价:专项期间新启用基础设施,疑似使用某安全公司扫描器,存在对多个重点单位的 mail 子域名的信息收集行为。

近期攻击行为:漏洞扫描。

攻击利用特征:baidutest.xyz。

对象4

攻击者IP:106.39.40.195

最近活跃时间:2024-07-25 ~ 2024-07-30

地理位置:中国-北京市

活跃行业:政府

能力评价:近期活跃起来的攻击者且针对政府网站进行攻击。

攻击利用特征:使用 dgrh3.cn、oast.live 等公共隐蔽链路进行探测攻击。攻击量很大,推测为扫描器。

近期攻击行为:扫描攻击。

对象5

攻击者IP:106.75.47.74

最近活跃时间:2024-07-29 ~ 2024-07-31

地理位置:中国-北京市

活跃行业:教育、政府

使用工具:interactsh。

能力评价:专项期间新启用基础设施,针对教育、政府网站发起信息泄露扫描攻击。

近期攻击行为:信息泄露扫描。

对象6

攻击者IP:118.178.230.190、118.178.230.121、118.178.230.213、118.178.230.146

最近活跃时间:2024-07-25 ~ 2024-07-30

地理位置:中国-浙江省-杭州市

活跃行业:能源、资源政务

使用工具:nmap。

攻击利用特征:mail-sec.info 隐蔽链路,该域名具有一定的隐蔽钓鱼性质。相关解析始于2023年10月,但相关解析记录一直较少,于7月份出现较多相关隐蔽链路解析记录。

能力评价:专项期间新启用多个基础设施,IP属于数据中心,DNS解析记录较少。

近期攻击行为:漏洞扫描。

关于红雨滴云沙箱

红雨滴云沙箱是威胁情报中心红雨滴团队基于多年的APT高级攻防对抗经验、安全大数据、威胁情报等能力,使用软、硬件虚拟化技术开发实现的真正的“上帝模式”高对抗沙箱,协助奇安信威胁情报中心及相关安服和客户发现了多个在野0day漏洞攻击、nday漏洞攻击,和无数计的APT攻击线索及样本,是威胁情报数据产出的重要基石,并被业内权威威胁分析厂商VirusTotal所集成。

点击“原文链接”,即刻探寻红雨滴云沙箱,现****面向ALPHA全部注册用户免费开放限时两个月的红雨滴云沙箱报告下载权限,用户无需登录可直接投递样本!

相关推荐