近期值得关注的IOC（2024-08-06）

2024-08-06 情报共享

域名

static-aliyun-docx.oss-cn-hangzhou.aliyuncs.com

38to.oss-cn-hangzhou.aliyuncs.com

mnmm.oss-cn-hangzhou.aliyuncs.com

URL

https://38to.oss-cn-hangzhou.aliyuncs.com/i.dat

https://38to.oss-cn-hangzhou.aliyuncs.com/a.gif

https://mnmm.oss-cn-hangzhou.aliyuncs.com/f.dat

https://38to.oss-cn-hangzhou.aliyuncs.com/drops.jpg

https://mnmm.oss-cn-hangzhou.aliyuncs.com/FOM-50.jpg

https://mnmm.oss-cn-hangzhou.aliyuncs.com/FOM-51.jpg

IP及端口

198.23.135.170:4133

文件HASH

361ea69b74a5fd28591023f902c0c5c1

个人简历.pdf.exe

d06bed663cac318b42dfa0743c4a988d

关于材质硬度检测自动化工作站项目反馈材料.exe

6fd13e06ced81f69367121100ce94516

云平台工程师岗-李路-个人简历.zip

b1b5c563e9fd9cc514eade50d4aba46e

广告投放需求文件打包.7z

de924b51d97c99473f67c62a960ff272

202407名单.rar

003ea106efbc10f34bab72f4223d2c95

A03执行查看（**钓鱼源文件）.zip

攻击者IP归属研判

对象1

攻击者IP：124.90.136.58

最近活跃时间：2024-08-01 至 2024-08-02

地理位置：中国-浙江省-杭州市

活跃行业：银行

能力评价：专项期间新启用基础设施，对农村信用社等银行行业目标发起攻击，经研判具有较强针对性。

近期攻击行为：漏洞扫描。

对象2

攻击者IP：47.94.217.9

最近活跃时间：2024-07-26 至 2024-08-02

地理位置：中国-北京市

活跃行业：统计局、法院

能力评价：专项期间新启用基础设施，近期攻击统计局、法院等目标的多个子域名，多使用自动化工具，疑似红队使用的探测节点。

近期攻击行为：漏洞扫描。

对象3

攻击者IP：122.10.71.95、122.10.14.223

最近活跃时间：2024-07-29 至 2024-08-01

地理位置：中国-香港特别行政区

活跃行业：新闻、医疗、政府

能力评价：专项期间新启用基础设施，发现对多个行业的批量扫描行为。但使用漏洞较老，且攻击手法过于直接。

攻击利用特征：发现批量的webshell利用行为：thinkphp 写入 webshell、ueditor 写入 webshell，以及扫描行为。使用到隐蔽链路 122.10.14.223。

近期攻击行为：漏洞扫描、webshell 利用。

对象4

攻击者IP：180.101.145.200

最近活跃时间：2024-08-04 至 2024-08-04

地理位置：中国-江苏省-苏州市

活跃行业：金融

能力评价：专项期间新启用基础设施，发现对公积金相关网站针对性的攻击行为。目标选择针对性强。

攻击利用特征：发现使用了公共隐蔽链路 gobygo.net。

近期攻击行为：目录扫描、sql 注入、struts2 漏洞攻击。

关于红雨滴云沙箱

红雨滴云沙箱是威胁情报中心红雨滴团队基于多年的APT高级攻防对抗经验、安全大数据、威胁情报等能力，使用软、硬件虚拟化技术开发实现的真正的“上帝模式”高对抗沙箱，协助奇安信威胁情报中心及相关安服和客户发现了多个在野0day漏洞攻击、nday漏洞攻击，和无数计的APT攻击线索及样本，是威胁情报数据产出的重要基石，并被业内权威威胁分析厂商VirusTotal所集成。

点击“原文链接”，即刻探寻红雨滴云沙箱，现面向ALPHA全部注册用户免费开放限时两个月的红雨滴云沙箱报告下载权限，用户无需登录可直接投递样本！