长亭百川云 - 文章详情

近期值得关注的IOC(2024-07-30)

奇安信威胁情报中心

57

2024-08-08

2024-07-30 情报共享

域名

static-aliyun-xlsx.oss-cn-beijing.aliyuncs.com

www01234qwfqwg-1327129302.cos.ap-chengdu.myqcloud.com

URL

http://121.43.40.197/jquery-3.3.1.min.js

https://static-aliyun-xlsx.oss-cn-beijing.aliyuncs.com/GbyekXDcN

https://www01234qwfqwg-1327129302.cos.ap-chengdu.myqcloud.com/1.txt

https://58.222.36.212/compute/cd/K7BA6V385V

IP及端口

101.42.6.230:8085

123.57.6.3:81

62.234.14.38:1443

文件HASH

7a7251f48286563bba067056af4285bf

哈**集团有限公司整改**专项审计报告.exe

75d8097b47bfa9e021c71b4a34f80b91

举报材料-docx.exe

cdc7a25cd82b584b6244214faf9171c8

执行查看.msi

bf8ed3c4c9ba01c5cce00897f52d3947

action.py

e2dbef1ea654b8e8d77f61072c177f74

执行查看.exe

e0aaea76f7af11f1bb9c0613df9ade3a

**金融候选人职位登记表1.zip

9492cec7ce22942be9373661b6ba70d1

专项漏洞检测工具.exe

攻击者IP归属研判

对象1

攻击者IP:114.249.217.26

最近活跃时间:2024-07-27 ~ 2024-07-29

地理位置:中国-北京市-北京市

活跃行业:银行

使用工具:AWVS、Burp、Xray、Goby等。

能力评价:专项期间新启用基础设施,使用多款黑客工具,对银行行业相关目标存在极强针对性。

攻击利用特征:jqb6tw.ceye.io。

近期攻击行为:漏洞扫描。

对象2

攻击者IP:116.62.126.210

最近活跃时间:2024-07-22~2024-07-23

地理位置:中国-浙江省-杭州市

活跃行业:电力、能源、煤炭

能力评价:对目标资产后信息收集,然后使用扫描器进行扫描攻击。

攻击利用特征:扫描攻击为主,近两日的攻击量都非常大。

历史攻击行为:专项期间才开始活跃的攻击者,攻击目标都是能源电力、煤炭相关的网站。

对象3

攻击者IP:39.100.85.55、106.14.217.146、112.125.88.127等

最近活跃时间:2024-07-23至2024-07-29

地理位置:中国-北京市

活跃行业:航空、海事、金融等

能力评价:多个 IP 段 使用 *.y1bs.shop 隐蔽链路进行扫描,不同 IP 段攻击目标不一致。判断为某个组织有计划的攻击。

历史攻击行为:在 2024-03-22 15:02:14 注册 ns2.y1bs.shop,在 2024-05-30 140.246.157.86 使用过 39.100.85.55  进行攻击。

对象4

攻击者IP:101.200.238.213、101.200.74.236

最近活跃时间:2024-07-23 ~ 2024-07-29

地理位置:境内数据中心-中国-北京市-北京市

活跃行业:建工、医疗、电气

能力评价:在数据生产中,由大数据指纹产生关联与昨日攻击者进行了归并,两个IP同属阿里云。行文特征也高度重合,该攻击者可能具有较多基础设施可以更换,建议不要封禁,持续追踪。

对象5

攻击者IP:124.71.72.93

最近活跃时间:2024-07-27 ~ 2024-07-29

地理位置:广东省-广州市

活跃行业:政府

使用工具:灯塔

能力评价:根据域名信息,该攻击者应该在24年上半年启用,属于华为云 ecs服务器,但却一直没有相关攻击记录。在专项期间开始启用,进行漏洞扫描,疑似专项期间专用的基础设施。

近期攻击行为:漏洞扫描。

关于红雨滴云沙箱

红雨滴云沙箱是威胁情报中心红雨滴团队基于多年的APT高级攻防对抗经验、安全大数据、威胁情报等能力,使用软、硬件虚拟化技术开发实现的真正的“上帝模式”高对抗沙箱,协助奇安信威胁情报中心及相关安服和客户发现了多个在野0day漏洞攻击、nday漏洞攻击,和无数计的APT攻击线索及样本,是威胁情报数据产出的重要基石,并被业内权威威胁分析厂商VirusTotal所集成。

点击“原文链接”,即刻探寻红雨滴云沙箱,现****面向ALPHA全部注册用户免费开放限时两个月的红雨滴云沙箱报告下载权限,用户无需登录可直接投递样本!

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2