2024-07-30 情报共享
域名
static-aliyun-xlsx.oss-cn-beijing.aliyuncs.com
www01234qwfqwg-1327129302.cos.ap-chengdu.myqcloud.com
URL
http://121.43.40.197/jquery-3.3.1.min.js
https://static-aliyun-xlsx.oss-cn-beijing.aliyuncs.com/GbyekXDcN
https://www01234qwfqwg-1327129302.cos.ap-chengdu.myqcloud.com/1.txt
https://58.222.36.212/compute/cd/K7BA6V385V
IP及端口
101.42.6.230:8085
123.57.6.3:81
62.234.14.38:1443
文件HASH
7a7251f48286563bba067056af4285bf
哈**集团有限公司整改**专项审计报告.exe
75d8097b47bfa9e021c71b4a34f80b91
举报材料-docx.exe
cdc7a25cd82b584b6244214faf9171c8
执行查看.msi
bf8ed3c4c9ba01c5cce00897f52d3947
action.py
e2dbef1ea654b8e8d77f61072c177f74
执行查看.exe
e0aaea76f7af11f1bb9c0613df9ade3a
**金融候选人职位登记表1.zip
9492cec7ce22942be9373661b6ba70d1
专项漏洞检测工具.exe
攻击者IP归属研判
对象1
攻击者IP:114.249.217.26
最近活跃时间:2024-07-27 ~ 2024-07-29
地理位置:中国-北京市-北京市
活跃行业:银行
使用工具:AWVS、Burp、Xray、Goby等。
能力评价:专项期间新启用基础设施,使用多款黑客工具,对银行行业相关目标存在极强针对性。
攻击利用特征:jqb6tw.ceye.io。
近期攻击行为:漏洞扫描。
对象2
攻击者IP:116.62.126.210
最近活跃时间:2024-07-22~2024-07-23
地理位置:中国-浙江省-杭州市
活跃行业:电力、能源、煤炭
能力评价:对目标资产后信息收集,然后使用扫描器进行扫描攻击。
攻击利用特征:扫描攻击为主,近两日的攻击量都非常大。
历史攻击行为:专项期间才开始活跃的攻击者,攻击目标都是能源电力、煤炭相关的网站。
对象3
攻击者IP:39.100.85.55、106.14.217.146、112.125.88.127等
最近活跃时间:2024-07-23至2024-07-29
地理位置:中国-北京市
活跃行业:航空、海事、金融等
能力评价:多个 IP 段 使用 *.y1bs.shop 隐蔽链路进行扫描,不同 IP 段攻击目标不一致。判断为某个组织有计划的攻击。
历史攻击行为:在 2024-03-22 15:02:14 注册 ns2.y1bs.shop,在 2024-05-30 140.246.157.86 使用过 39.100.85.55 进行攻击。
对象4
攻击者IP:101.200.238.213、101.200.74.236
最近活跃时间:2024-07-23 ~ 2024-07-29
地理位置:境内数据中心-中国-北京市-北京市
活跃行业:建工、医疗、电气
能力评价:在数据生产中,由大数据指纹产生关联与昨日攻击者进行了归并,两个IP同属阿里云。行文特征也高度重合,该攻击者可能具有较多基础设施可以更换,建议不要封禁,持续追踪。
对象5
攻击者IP:124.71.72.93
最近活跃时间:2024-07-27 ~ 2024-07-29
地理位置:广东省-广州市
活跃行业:政府
使用工具:灯塔
能力评价:根据域名信息,该攻击者应该在24年上半年启用,属于华为云 ecs服务器,但却一直没有相关攻击记录。在专项期间开始启用,进行漏洞扫描,疑似专项期间专用的基础设施。
近期攻击行为:漏洞扫描。
关于红雨滴云沙箱
红雨滴云沙箱是威胁情报中心红雨滴团队基于多年的APT高级攻防对抗经验、安全大数据、威胁情报等能力,使用软、硬件虚拟化技术开发实现的真正的“上帝模式”高对抗沙箱,协助奇安信威胁情报中心及相关安服和客户发现了多个在野0day漏洞攻击、nday漏洞攻击,和无数计的APT攻击线索及样本,是威胁情报数据产出的重要基石,并被业内权威威胁分析厂商VirusTotal所集成。
点击“原文链接”,即刻探寻红雨滴云沙箱,现****面向ALPHA全部注册用户免费开放限时两个月的红雨滴云沙箱报告下载权限,用户无需登录可直接投递样本!
