近期值得关注的IOC（2024-07-29）

614202e285add6fad18fbb5d0f6699f6

tomcat9.exe

8e36b71ebb2b86e267a5f74037b637b2

*投诉举报.docx.lnk

f0d7fe834fa46dbbba531e4508808d76

中国*****系统正文插件.rar

b7323eece716260bca4bffc43d108560

附件3:钢结构结算图纸.rar

ff03116bcf9af3bf670cfadca2887b14

M128fwDriver.rar.html

5f8b8f71f58d159eb872bc701d4eefb0

小件分拣机程序.rar

对象1

攻击者IP：59.46.24.10

攻防相关度评定:5
最近活跃时间:2024-07-18 ~ 2024-07-28

地理位置:中国-辽宁省-沈阳市
活跃行业:医疗

能力评价:使用多种黑客工具，针对多个目标发起漏洞扫描攻击，对医疗行业有极强针对性。

使用工具:Nmap、AWVS、Behinder、Xray、Burp、 Sqlmap等。

攻击利用特征:使用隐蔽链路:egqinm.ceye.io、 dflqxk.ceye.io等。

近期攻击行为:漏洞扫描。

对象2

攻击者IP:66.203.147.73

攻防相关度评定:3
最近活跃时间:2024-07-21 ~ 2024-07-28

地理位置:中国-香港特别行政区-香港特别行政区

活跃行业:能源、医疗

能力评价:近期新启用基础设施，对大量目标发起漏洞扫描探测。疑似境外专用主机资产。
近期攻击行为:漏洞扫描。

对象3

攻击者IP:183.17.60.207
攻防相关度评定:5

最近活跃时间:2024-04-19 ~ 2024-07-27

地理位置:中国-广东省-深圳市

活跃行业:金融、政府、能源

能力评价:高频度使用Burpsuit，日常行为中包含多个XSS平台，疑似具备cobalt strike使用能力，多次访问git疑似具备工具开发能力，高频使用腾讯云函数疑似具备使用云服务隐藏自身的能力。日常行为中多次出现shodan等资产测绘工具。具备某安全公司从业人员行为特征。

对象4

攻击者IP:101.200.74.236

攻防相关度评定:5
最近活跃时间:2024-07-24 ~ 2024-07-24

地理位置:境内数据中心-中国-北京市-北京市

活跃行业:建工、医疗、电气

能力评价:疑似使用肉鸡开展攻击活动。多次使用免费IP代理工具尝试切换自身IP。

攻击利用特征:发现了对建工、医疗的攻击意向，使用jeecg-boot相关的漏洞进行攻击电气行业。

历史攻击行为:白泽目前检测到2024-07-24 ~ 2024- 07-24活跃。

近期攻击行为:使用jeecg-boot相关的漏洞进行攻击电气行业。

对象5

关于红雨滴云沙箱

红雨滴云沙箱是威胁情报中心红雨滴团队基于多年的APT高级攻防对抗经验、安全大数据、威胁情报等能力，使用软、硬件虚拟化技术开发实现的真正的“上帝模式”高对抗沙箱，协助奇安信威胁情报中心及相关安服和客户发现了多个在野0day漏洞攻击、nday漏洞攻击，和无数计的APT攻击线索及样本，是威胁情报数据产出的重要基石，并被业内权威威胁分析厂商VirusTotal所集成。

点击“原文链接”，即刻探寻红雨滴云沙箱，现面向ALPHA全部注册用户免费开放限时两个月的红雨滴云沙箱报告下载权限，用户无需登录可直接投递样本！