2024-08-01 情报共享
域名
42o.oss-cn-beijing.aliyuncs.com
service-88oyn3gj-1309348799.bj.tencentapigw.com.cn
URL
hxxp://123.207.74.22:11443/mall_100_100.html
https://42o.oss-cn-beijing.aliyuncs.com/i.dat
hxxps://124.225.127.200/static/vendor.5398c8aa.js
hxxps://124.225.127.202/static/vendor.5398c8aa.js
hxxps://124.225.45.224/static/vendor.5398c8aa.js
hxxps://150.242.56.252/static/vendor.5398c8aa.js
hxxps://218.77.199.228/static/vendor.5398c8aa.js
hxxps://119.0.107.231/static/vendor.5398c8aa.js
IP及端口
123.207.74.22:11443
文件HASH
e29df5daf1eaa99a5345c268b42ebeb7
20240730人员名单信息.zip
feeaf4047ff57528da5e90da3c108b2c
32-109.exe
ee22812be16b8063fca0679dbe317847
**金融业务部招聘jd&福利.zip
f6563771ae1412eddd2d3424832bfbb1
全球薪酬支付服务业务合作需求材料.rar
e4ad13a516a18b15981977ea908891f9
表格.exe
a706bae1e9f1ddfeba557a8bfd349946
7月报集团文件及集团下发文件.exe
b40331bf1b6f2108e3ac6b61c6d39161
**管理部保留权限人员名单.zip
攻击者IP归属研判
对象1
攻击者IP:58.33.178.131
最近活跃时间:2024-07-30 ~ 2024-07-30
地理位置:中国-上海市-上海市
活跃行业:水电、轮渡
能力评价:定向漏洞进行攻击,疑似某安全公司从业人员。
攻击利用特征:针对 oa 漏洞进行攻击,如蓝凌 KEP 前台 RCE 漏洞,发现的攻击量不多,推测为信息收集判断出指纹后,使用 poc 批量利用攻击。
近期攻击行为:蓝凌 KEP 前台 RCE 漏洞。
对象2
攻击者IP:122.231.240.108、125.118.234.143、115.205.5.143
最近活跃时间:2024-07-24 ~ 2024-07-30
地理位置:中国-浙江省-杭州市
活跃行业:交通
使用工具:Burp、Behinder。
能力评价:专项期间新启用多个基础设施,对交通运输行业存在极强针对性。
近期攻击行为:漏洞扫描。
对象3
攻击者IP:203.15.10.241
最近活跃时间:2024-07-22 ~ 2024-07-30
地理位置:中国-福建省-福州市
活跃行业:能源、电力等
能力评价:专项期间新启用基础设施,疑似使用某安全公司扫描器,存在对多个重点单位的 mail 子域名的信息收集行为。
近期攻击行为:漏洞扫描。
攻击利用特征:baidutest.xyz。
对象4
攻击者IP:106.39.40.195
最近活跃时间:2024-07-25 ~ 2024-07-30
地理位置:中国-北京市
活跃行业:政府
能力评价:近期活跃起来的攻击者且针对政府网站进行攻击。
攻击利用特征:使用 dgrh3.cn、oast.live 等公共隐蔽链路进行探测攻击。攻击量很大,推测为扫描器。
近期攻击行为:扫描攻击。
对象5
攻击者IP:106.75.47.74
最近活跃时间:2024-07-29 ~ 2024-07-31
地理位置:中国-北京市
活跃行业:教育、政府
使用工具:interactsh。
能力评价:专项期间新启用基础设施,针对教育、政府网站发起信息泄露扫描攻击。
近期攻击行为:信息泄露扫描。
对象6
攻击者IP:118.178.230.190、118.178.230.121、118.178.230.213、118.178.230.146
最近活跃时间:2024-07-25 ~ 2024-07-30
地理位置:中国-浙江省-杭州市
活跃行业:能源、资源政务
使用工具:nmap。
攻击利用特征:mail-sec.info 隐蔽链路,该域名具有一定的隐蔽钓鱼性质。相关解析始于2023年10月,但相关解析记录一直较少,于7月份出现较多相关隐蔽链路解析记录。
能力评价:专项期间新启用多个基础设施,IP属于数据中心,DNS解析记录较少。
近期攻击行为:漏洞扫描。
关于红雨滴云沙箱
红雨滴云沙箱是威胁情报中心红雨滴团队基于多年的APT高级攻防对抗经验、安全大数据、威胁情报等能力,使用软、硬件虚拟化技术开发实现的真正的“上帝模式”高对抗沙箱,协助奇安信威胁情报中心及相关安服和客户发现了多个在野0day漏洞攻击、nday漏洞攻击,和无数计的APT攻击线索及样本,是威胁情报数据产出的重要基石,并被业内权威威胁分析厂商VirusTotal所集成。
点击“原文链接”,即刻探寻红雨滴云沙箱,现****面向ALPHA全部注册用户免费开放限时两个月的红雨滴云沙箱报告下载权限,用户无需登录可直接投递样本!