2024-08-15 情报共享
域名
service-c2y0jtba-1319584009.gz.tencentapigw.com.cn
URL
http://27.106.123.108/upload
IP及端口
47.116.176.147:60012
27.106.123.108: 8080
47.106.98.245: 49912
文件HASH
0f94a13d2aae1ea945b919cd8fb13408
化学物质环境风险评估与管控技术标准体系框架生态毒理学行业标准意见建议.zip
5b33fbe02e5874b781fab0749e0bf85b
中秋礼品领取说明.pdf.exe
a2326fbf3e47126eccd315a3b9ca2257
****银行业务领域网络安全事件报告管理办法(征求意见稿).pdf.zip
30eb50d715cb3706ceb4851f412ee0dc
抽水蓄能电站输水发电系统的渗流分析(修改意见).rar
8daaca22947897be722c465931b0f909
智慧饭堂升级改造通知.pdf.exe
攻击者IP归属研判
对象1
攻击者IP:112.224.162.202
最近活跃时间:2024-07-12 至 2024-08-13
地理位置:中国-山东省-济南市
活跃行业:机场
能力评价:专项期间发现对机场行业发动漏洞扫描攻击,攻击者对目标进行了信息收集,对其子域名也进行了漏洞扫描攻击。和之前发现的 (118.182.102.35、118.182.102.53)攻击者攻击方式相近,疑似同一组织攻击者。
攻击利用特征:隐蔽链路 happy-res.xyz、122.152.214.152。
近期攻击行为:漏洞扫描。
对象2
攻击者IP:124.64.9.183
最近活跃时间:2024-08-08 至 2024-08-14
地理位置:中国-北京市
活跃行业:银行、能源
使用工具:AWVS、Xray、Burp。
能力评价:专项期间新启用基础设施,对银行行业具有极强针对性,具有较强的代码开发和网络攻击能力。
近期攻击行为:信息收集、漏洞扫描。
对象3
攻击者IP:42.51.38.153
最近活跃时间:2024-07-31 至 2024-08-14
地理位置:中国-河南省-洛阳市
活跃行业:教育
能力评价:专项期间新启用基础设施,对教育行业具有极强针对性,专项期间针对目标网站仅发起备份文件扫描,推测该基础设施专门用于前期的信息收集。
近期攻击行为:备份文件扫描。
对象4
攻击者IP:111.67.197.244
最近活跃时间:2024-08-07 至 2024-08-14
地理位置:中国-北京市
活跃行业:民航、机场
能力评价:专项期间新启用基础设施,对民航、机场等目标具有极强针对性。
近期攻击行为:shiro 漏洞扫描。
对象5
攻击者IP:111.19.199.41
最近活跃时间:2024-07-23 至 2024-08-07
地理位置:中国-陕西省-咸阳市
活跃行业:银行、保险
能力评价:专项期间新启用基础设施,对银行、保险行业目标具有极强针对性,存在某安全厂商扫描器特征。
近期攻击行为:漏洞扫描。
对象6
攻击者IP:110.41.54.205、39.108.171.154、59.110.91.103、2408:8215:18:ff40:8d:3b2a:8b56:b9a0
最近活跃时间:2024-05-09 至 2024-08-13
地理位置:中国-广东省-广州市
活跃行业:机场
能力评价:专项期间发现对机场行业进行了信息搜集,并且发动了扫描攻击。
攻击利用特征:隐蔽链路 192.227.177.11.
近期攻击行为:漏洞扫描。
历史攻击行为:历史攻击目标为轮船以及政府单位,手法为漏洞扫描。
关于红雨滴云沙箱
点击“原文链接”,即刻探寻红雨滴云沙箱,现面向ALPHA全部注册用户免费开放限时两个月的红雨滴云沙箱报告下载权限,用户无需登录可直接投递样本!
原文始发于微信公众号(奇安信威胁情报中心):近期值得关注的IOC(2024-08-15)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论