2024-07-31 情报共享
域名
service-61oc67uo-1327454768.gz.tencentapigw.com.cn
upitem.oss-cn-hangzhou.aliyuncs.com
25o.oss-cn-beijing.aliyuncs.com
eb61p34knmgp.oss-cn-guangzhou.aliyuncs.com
URL
hxxps://sv1.stor.petaexpress.com/abc5544/setup%E8%A1%A8%E6%A0%BC%E6%96%87%E4%BB%B60521.rar
hxxps://eb61p34knmgp.oss-cn-guangzhou.aliyuncs.com/JmvMgP5hxm2
IP及端口
152.136.166.138:8085
152.136.166.138:57687
106.53.44.71:8113
文件HASH
e881d997f41f5ec841425ab5ed03ab28
票据详情.exe
62592aba77ed3127388954f1c54d3099
稅务倒查三年追缴企业名单《电脑版》.xlsx
fc6aea2d4740c5217eace9b4236d3b4
未来**有限公司2024年Q1****业务攻坚活动执行服务后续问题反馈.exe
1941b02a1a2403dce0200748cb0bed37
关于机场场务优化调整的通知-**机场.word.exe
98e6dae94023898cb0b6feb74d546295
纪检监察信访举报-员工违纪举报.zip
594fd80d37c5c48d99279ddf839e6e03
20240730.exe
攻击者IP归属研判
对象1
攻击者IP:120.225.110.152、124.114.238.150、183.27.152.169、116.54.17.134等
最近活跃时间:2024-07-29
地理位置:中国
活跃行业:银行
能力评价:攻击者在专项期间使用新启用的隐蔽链路kiu1u.site,使用大量IP对银行行业相关目标发起针对性攻击,尤其对安徽地域内**银行有强针对性,该攻击者频繁变换大量IP,存在较强隐蔽能力,建议对其使用的隐蔽链路进行关注。
攻击利用特征:kiu1u.site。
近期攻击行为:Log4j漏洞扫描。
对象2
攻击者IP:113.16.135.202
最近活跃时间:2024-07-29 ~ 2024-07-30
地理位置:中国-广西壮族自治区-南宁市
活跃行业:广西重点单位
使用工具:Burp、Xray、Nmap、Sqlmap等。
能力评价:专项期间新启用的基础设施,使用多种安全工具,攻击者表现出明显的白帽行为,对广西地域内目标存在较强针对性。
攻击利用特征:ztsw3f.ceye.io。
近期攻击行为:漏洞扫描。
对象3
攻击者IP:106.54.211.150
最近活跃时间:2024-07-20 ~ 2024-07-30
地理位置:中国-上海市
活跃行业:新闻
能力评价:对目标资产信息收集,然后使用扫描器进行扫描攻击。
攻击利用特征:灯塔 ARL 信息收集服务,使用7c7n8a.ceye.io隐蔽链路。
历史攻击行为:专项期间发现对安徽新闻网站进行大量扫描行为。
近期攻击行为:漏洞扫描。
对象4
攻击者IP:118.195.149.144
最近活跃时间:2024-07-02 ~ 2024-07-25
地理位置:中国-江苏省-南京市
活跃行业:政府
能力评价:近期的攻击行为都比较谨慎,未使用扫描器进行扫描,多使用手工方式进行测试。
攻击利用特征:搭建AWVS服务,访问 metasploit、fofa、ceye 等服务,使用过hpocjn.ceye.io隐蔽链路。
近期攻击行为:近期的攻击记录都是以api接口扫描探测为主。
历史攻击行为:2024-07-12之前使用扫描进行攻击行为。
关于红雨滴云沙箱
红雨滴云沙箱是威胁情报中心红雨滴团队基于多年的APT高级攻防对抗经验、安全大数据、威胁情报等能力,使用软、硬件虚拟化技术开发实现的真正的“上帝模式”高对抗沙箱,协助奇安信威胁情报中心及相关安服和客户发现了多个在野0day漏洞攻击、nday漏洞攻击,和无数计的APT攻击线索及样本,是威胁情报数据产出的重要基石,并被业内权威威胁分析厂商VirusTotal所集成。
点击“原文链接”,即刻探寻红雨滴云沙箱,现****面向ALPHA全部注册用户免费开放限时两个月的红雨滴云沙箱报告下载权限,用户无需登录可直接投递样本!