APT39 Analyse

💳 Purchase Required

You need to purchase an additional CTI license to see detailed indicators.

IOB - Indicator of Behavior (337)

Zeitverlauf

Sprache

en286
es20
zh6
pt6
fr6

Land

us174
ru32
es24
gb18
cn16

Akteure

Chafer6
APT395
Cobalt Strike2
MechaFlounder2
MyKings1

Aktivitäten

Interesse

Zeitverlauf

Typ

Not Defined104
Operating System26
Content Management System26
WordPress Plugin20
Web Server12

Hersteller

Not Defined138
Microsoft30
Apache10
Google8
Linux6

Produkt

Microsoft Windows16
WordPress10
Google Chrome8
phpMyAdmin8
BigBlueButton6

Schwachstellen

#SchwachstelleBaseTemp0dayHeuteAusMasEPSSCTICVE
1Thomas R. Pasawicz HyperBook Guestbook Password Database gbconfiguration.dat Hash Information Disclosure5.35.2$5k-$25k$0-$5kHighWorkaround0.020160.02CVE-2007-1192
2nginx erweiterte Rechte6.96.9$0-$5k$0-$5kNot DefinedNot Defined0.002412.73CVE-2020-12440
3Microsoft IIS Cross Site Scripting5.24.7$5k-$25k$0-$5kProof-of-ConceptOfficial Fix0.005480.17CVE-2017-0055
4VMware vRealize Orchestrator Path Redirect3.02.9$5k-$25k$0-$5kNot DefinedOfficial Fix0.001190.00CVE-2021-22036
5vm2 erweiterte Rechte9.99.7$0-$5k$0-$5kNot DefinedOfficial Fix0.005370.04CVE-2023-32314
6OpenSSH Authentication Username Information Disclosure5.34.8$5k-$25k$0-$5kHighOfficial Fix0.107370.43CVE-2016-6210
7PHPMailer Phar Deserialization addAttachment erweiterte Rechte5.55.3$0-$5k$0-$5kNot DefinedOfficial Fix0.007480.00CVE-2020-36326
8jQuery Property extend Pollution Cross Site Scripting6.66.3$0-$5k$0-$5kProof-of-ConceptOfficial Fix0.035350.43CVE-2019-11358
9Rust Programming Language Standard Library type_id Pufferüberlauf7.77.5$0-$5k$0-$5kNot DefinedOfficial Fix0.003010.00CVE-2019-12083
10WordPress SQL Injection6.86.7$5k-$25k$0-$5kNot DefinedOfficial Fix0.004670.00CVE-2022-21664
11Apple iOS WebKit Pufferüberlauf6.36.0$100k und mehr$5k-$25kHighOfficial Fix0.004240.00CVE-2021-30666
12WordPress Directory Traversal5.75.6$5k-$25k$0-$5kNot DefinedOfficial Fix0.003260.04CVE-2023-2745
13Canon IJ Network Tool Wi-Fi Connection Setup Information Disclosure5.45.4$0-$5k$0-$5kNot DefinedNot Defined0.000520.00CVE-2023-1763
14ciubotaru share-on-diaspora new_window.php Cross Site Scripting4.44.3$0-$5k$0-$5kNot DefinedOfficial Fix0.000630.04CVE-2017-20176
15Postfix Admin functions.inc.php SQL Injection7.37.0$5k-$25k$0-$5kHighOfficial Fix0.002530.03CVE-2014-2655
16D-Link DCS-2530L/DCS-2670L ddns_enc.cgi erweiterte Rechte7.57.5$5k-$25k$5k-$25kNot DefinedNot Defined0.001350.02CVE-2020-25079
17Microsoft IIS IP/Domain Restriction erweiterte Rechte6.55.7$25k-$100k$0-$5kUnprovenOfficial Fix0.008170.47CVE-2014-4078
18SourceCodester Library Management System bookdetails.php SQL Injection7.16.9$0-$5k$0-$5kProof-of-ConceptNot Defined0.003220.04CVE-2022-2214
19Phplinkdirectory PHP Link Directory conf_users_edit.php Cross Site Request Forgery6.36.0$0-$5k$0-$5kProof-of-ConceptNot Defined0.005260.00CVE-2011-0643
20Lotus Domino Request Information Disclosure5.35.1$0-$5k$0-$5kNot DefinedOfficial Fix0.008770.00CVE-2002-0245

Kampagnen (1)

These are the campaigns that can be associated with the actor:

  • Chafer

IOC - Indicator of Compromise (17)

These indicators of compromise highlight associated network ressources which are known to be part of research and attack activities.

IDIP-AdresseHostnameAkteurKampagnenIdentifiziertTypAkzeptanz
183.142.230.113APT3912.12.2020verifiziertHigh
286.105.227.224APT3912.12.2020verifiziertHigh
387.117.204.113APT3912.12.2020verifiziertHigh
487.117.204.115APT3912.12.2020verifiziertHigh
5XX.XX.XX.XXXxx-xx-xx-xxx.xxxxxx-xx-xxxxxxxxxxx.xxxXxxxx12.12.2020verifiziertHigh
6XX.XX.XX.XXX Xxxxx12.12.2020verifiziertHigh
7XX.XXX.XXX.XXXXxxxx12.12.2020verifiziertHigh
8XX.XXX.XXX.XXXXxxxx12.12.2020verifiziertHigh
9XX.XXX.XX.XXXxxx.xx.xxx.xx.xxxx-xxxxx.xxxxxx.xxXxxxx12.12.2020verifiziertHigh
10XX.XXX.XX.XXXxx-xxx-xx-xxx.xxxxxx.xxxx.xxXxxxx12.12.2020verifiziertHigh
11XXX.XXX.XX.XXxxx.xxx.xx.xx.xxxxx.xxxXxxxx12.12.2020verifiziertMedium
12XXX.XX.XXX.XXXxxx.xx.xxx.xxx.xxxxx.xxxXxxxx15.12.2020verifiziertMedium
13XXX.XXX.XXX.XXXxxxx12.12.2020verifiziertHigh
14XXX.XXX.XXX.XXXxxxxXxxxxx12.12.2020verifiziertHigh
15XXX.XXX.XXX.XXXxxx-xx.xxxxxx.xxXxxxx12.12.2020verifiziertHigh
16XXX.XX.XXX.XXxxx.xxxxxxxxxxxxxxx.xxxxXxxxx12.12.2020verifiziertHigh
17XXX.XXX.XX.XXXxxxxXxxxxx12.12.2020verifiziertHigh

TTP - Tactics, Techniques, Procedures (19)

Tactics, techniques, and procedures summarize the suspected MITRE ATT&CK techniques used. This data is unique as it uses our predictive model for actor profiling.

IDTechniqueSchwachstellenZugriffsartTypAkzeptanz
1T1006CWE-21, CWE-22Path TraversalprädiktivHigh
2T1040CWE-294, CWE-319Authentication Bypass by Capture-replayprädiktivHigh
3T1055CWE-74Improper Neutralization of Data within XPath ExpressionsprädiktivHigh
4T1059CWE-94Argument InjectionprädiktivHigh
5TXXXX.XXXCWE-XX, CWE-XXXxxxx Xxxx XxxxxxxxxprädiktivHigh
6TXXXXCWE-XXX, CWE-XXX, CWE-XXXXxxxxxxxx Xxxx Xxxxxxxxxxx XxxxxxxxxxprädiktivHigh
7TXXXX.XXXCWE-XXXXxxx-xxxxx XxxxxxxxxxxprädiktivHigh
8TXXXXCWE-XX, CWE-XXXxxxxxx Xxxxx Xx Xxxxxxxxxx Xxxxxxxxxx XxxxxxxxxprädiktivHigh
9TXXXX.XXXCWE-XXXXxxx XxxxxxxxprädiktivHigh
10TXXXXCWE-XXX7xx Xxxxxxxx XxxxxxxxprädiktivHigh
11TXXXXCWE-XXX, CWE-XXXXxxxxxxxxx XxxxxxprädiktivHigh
12TXXXXCWE-XXXxx XxxxxxxxxprädiktivHigh
13TXXXX.XXXCWE-XXXXxxxxxxx XxxxxxxxxxxxxprädiktivHigh
14TXXXXCWE-XXX, CWE-XXXXxxxxxxxxxx XxxxxxxxxxprädiktivHigh
15TXXXXCWE-XXXXxxxxxxxx Xxxxxx XxxxprädiktivHigh
16TXXXXCWE-XXX, CWE-XXX, CWE-XXX, CWE-XXXXxxxxxxxxx Xx Xxxxxxx Xxxxx Xxxxxxx Xxxxxxxxx XxxxxxxxxxxprädiktivHigh
17TXXXXCWE-XXXXxxxxxxxxxxxx XxxxxxprädiktivHigh
18TXXXX.XXXCWE-XXXXxxxxxxxxx Xxxxxxxxxxxxxx Xx Xxxxxxxx Xxxx XxxxxxxxxprädiktivHigh
19TXXXXCWE-XXXXxxxxxxxxxx XxxxxxprädiktivHigh

IOA - Indicator of Attack (144)

These indicators of attack list the potential fragments used for technical activities like reconnaissance, exploitation, privilege escalation, and exfiltration. This data is unique as it uses our predictive model for actor profiling.

IDKlasseIndicatorTypAkzeptanz
1File//etc/RT2870STA.datprädiktivHigh
2File/admin/index.php?id=themes&action=edit_template&filename=blogprädiktivHigh
3File/api/loginprädiktivMedium
4File/appConfig/userDB.jsonprädiktivHigh
5File/bin/boaprädiktivMedium
6File/cgi-bin/wapopenprädiktivHigh
7File/CPEprädiktivLow
8File/cwp_{SESSION_HASH}/admin/loader_ajax.phpprädiktivHigh
9File/jquery_file_upload/server/php/index.phpprädiktivHigh
10File/librarian/bookdetails.phpprädiktivHigh
11File/magnoliaPublic/travel/members/login.htmlprädiktivHigh
12File/Main_AdmStatus_Content.aspprädiktivHigh
13File/public/login.htmprädiktivHigh
14File/requests.phpprädiktivHigh
15File/self.keyprädiktivMedium
16File/server-statusprädiktivHigh
17File/xxxxxxx/prädiktivMedium
18File/xxx/xxx/xxxxxprädiktivHigh
19File/xxxxxxxx/xxxx_xxxxx.xxxprädiktivHigh
20Filexxxxxxx.xxxprädiktivMedium
21Filexxxxx.xxxprädiktivMedium
22Filexxxxx/xxxx_xxxxx_xxxx.xxxprädiktivHigh
23Filexxxxx/xxxxx.xxxprädiktivHigh
24Filexxxxxxxxxxxxx/xxxxxxxxxx/xxx_xxxxx/xxxxxxx/xxxxx.xxxprädiktivHigh
25Filexxxxxxxxxx.xxxprädiktivHigh
26Filexxxxxxxxxxx.xxxprädiktivHigh
27Filexx_xxxxxxxxxx.xxxprädiktivHigh
28Filexxx:.xxxprädiktivMedium
29Filexxx/xxx.xxxprädiktivMedium
30Filexxxxxxx.xxxprädiktivMedium
31Filexxxxxx_xxxxxx.xxxprädiktivHigh
32Filexxxxxxxx.xxxprädiktivMedium
33Filexxx-xxx/xxxx_xxx.xxxprädiktivHigh
34Filexxxxxx.xxxprädiktivMedium
35Filexxxx/xxxxxxxxxxxxxxx.xxxprädiktivHigh
36Filexxxxxx.xxxprädiktivMedium
37Filexxx.xxxprädiktivLow
38Filexxxxx.xxxprädiktivMedium
39Filexxx/xxxxxxxx/xxx_xxxxxxxxxxxx.xxprädiktivHigh
40Filexxxxxxxxx.xxx.xxxprädiktivHigh
41Filexxxxxxxxxxxx_xxxx.xxxprädiktivHigh
42Filexxx_xxxxxx.xxxprädiktivHigh
43Filexxxx_xxxxxxx.xxx.xxxprädiktivHigh
44Filexxxx_xxxx.xprädiktivMedium
45Filexxxxxxxxx.xxxprädiktivHigh
46Filexxxxxxxx/xxxxx.xxxx-xxx.xxxprädiktivHigh
47Filexxxxx.xxxprädiktivMedium
48Filexxxxxx.xprädiktivMedium
49Filexxxx/xxx_xxx.xprädiktivHigh
50Filexxxxxxxx.xxxprädiktivMedium
51Filexxxxxxx/xxxxxxx/xxx_xxxxxxx.xprädiktivHigh
52Filexxx_xxxxxx.xxprädiktivHigh
53Filexxxx/xxxx/xxxxx.xxxprädiktivHigh
54Filexxx_xxxxxx.xxxprädiktivHigh
55Filexxxxxx.xxxprädiktivMedium
56Filexxxxxxxxxxxxxx.xxxprädiktivHigh
57Filexxxxxxx.xxxprädiktivMedium
58Filexxxxx.xxxxx.xxxprädiktivHigh
59Filexxxxxx/?x=xxxxx/\xxxxx\xxx/xxxxxxxxxxxxxx&xxxxxxxx=xxxx_xxxx_xxxx_xxxxx&xxxx[x]=xxxxxx&xxxx[x][]prädiktivHigh
60Filexxxx/xxxxxprädiktivMedium
61Filexxxxx.xxxprädiktivMedium
62Filexxxxxxxx.xxxprädiktivMedium
63Filexxxxxxxxxx.xxxprädiktivHigh
64Filexxxxxxxx_xxxx.xxxprädiktivHigh
65Filexxxxxxxx.xxx?x=xxxxxx&x=xxxxxxxxxxprädiktivHigh
66Filexxxxxxx.xprädiktivMedium
67Filexxxxxx.xxxprädiktivMedium
68Filexxxx.xxxprädiktivMedium
69Filexxxxx/xxx/xxxx.xprädiktivHigh
70Filexxxxxx_xxx_xxxxx_xxx.xxxprädiktivHigh
71Filexxx_xxx_xxxxx.xxxprädiktivHigh
72Filexxxx/xxxxxxxxxxxxxxx.xxxxxxprädiktivHigh
73Filexxxxxxx_xxxxx.xxxprädiktivHigh
74Filexxxxxxx_xxxxxxxxxx.xxxprädiktivHigh
75Filexxx.xxxprädiktivLow
76Filexxxxxx.xxxprädiktivMedium
77Filexxxxxx.xxxprädiktivMedium
78Filexxxxxxxxxxxxxx.xxxprädiktivHigh
79Filexxxxxxx.xxxprädiktivMedium
80Filexx-xxxxx/xxxx-xxx.xxxprädiktivHigh
81Filexx-xxxxxxx/xxxxxxx/xxxx-xx-xxxx/prädiktivHigh
82Filexx-xxxxxxxx/xxxxx-xx-xxxxx.xxxprädiktivHigh
83Filexx-xxxxxxxx/xxxxx-xx-xxxxxx-xxxxxx.xxxprädiktivHigh
84Filexx-xxxxxxxxxxx.xxxprädiktivHigh
85Libraryxxxxxxx/xxx/xxxxxx.xxx.xxxprädiktivHigh
86Libraryxxxxxx.xxxprädiktivMedium
87Argument$xxxxx_xxxxxxxxxxprädiktivHigh
88Argument$_xxxxxxxprädiktivMedium
89ArgumentxxxxxxxprädiktivLow
90ArgumentxxxxxprädiktivLow
91ArgumentxxxxxxprädiktivLow
92ArgumentxxxprädiktivLow
93ArgumentxxxxxprädiktivLow
94ArgumentxxxxxxxxxxxxxxxprädiktivHigh
95Argumentxxxx/xxxxprädiktivMedium
96ArgumentxxxxxxxxprädiktivMedium
97ArgumentxxxxprädiktivLow
98ArgumentxxxxxxxxxxprädiktivMedium
99ArgumentxxxxprädiktivLow
100ArgumentxxxxxxxxxxprädiktivMedium
101Argumentxxxx_xxxxxxxxprädiktivHigh
102Argumentxx_xxprädiktivLow
103Argumentxxxx[xxx]prädiktivMedium
104ArgumentxxprädiktivLow
105ArgumentxxxxxxxxprädiktivMedium
106ArgumentxxxxprädiktivLow
107ArgumentxxxxxprädiktivLow
108Argumentxxxxx_xxprädiktivMedium
109Argumentxxxx_xxxxxxxprädiktivMedium
110ArgumentxxprädiktivLow
111ArgumentxxxxprädiktivLow
112Argumentxxxxxxxxxxxxx/xxxxxxxxxxxxxxprädiktivHigh
113Argumentx/xx/xxxprädiktivMedium
114Argumentxxxx_xxxxprädiktivMedium
115Argumentxx_xxxxxxxprädiktivMedium
116ArgumentxxxprädiktivLow
117Argumentxxxxxxxxx/xxxxxx/xxxxxxxxxprädiktivHigh
118ArgumentxxxxxxxxxxprädiktivMedium
119ArgumentxxxxxxxxxxxxxprädiktivHigh
120Argumentxxxxxxxxx_xxxxxxxx_xxxxprädiktivHigh
121ArgumentxxxxxxprädiktivLow
122Argumentxxxxx_xxxxprädiktivMedium
123ArgumentxxxxxxxxprädiktivMedium
124ArgumentxxxxxxxxprädiktivMedium
125ArgumentxxxxxxxxprädiktivMedium
126ArgumentxxxxxxxprädiktivLow
127Argumentxxxx xxxxxprädiktivMedium
128Argumentxxxx_xxxxxprädiktivMedium
129ArgumentxxxxprädiktivLow
130ArgumentxxxxxxprädiktivLow
131ArgumentxxxxxxxxxxprädiktivMedium
132Argumentx/xxxxxxxxxxxxprädiktivHigh
133ArgumentxxxxprädiktivLow
134ArgumentxxxxxxxxprädiktivMedium
135Argumentxxxxx/xxxprädiktivMedium
136ArgumentxxxxxxxxxxprädiktivMedium
137ArgumentxxxprädiktivLow
138ArgumentxxxxxxprädiktivLow
139ArgumentxxxxxxxxprädiktivMedium
140Argumentxxxxxxxxx_xxxxxx_xx_[xxxx]prädiktivHigh
141Input Value' xxx (xxxxxx xxxx xxxx (xxxxxx(xxxxx(x)))xxxx)-- xxxxprädiktivHigh
142Input Value../..prädiktivLow
143Network Portxxx/xxxxprädiktivMedium
144Network Portxxx/xxx (xxx)prädiktivHigh

Referenzen (4)

The following list contains external sources which discuss the actor and the associated activities:

ZurückÜbersichtWeiter

Do you need the next level of professionalism?

Upgrade your account now!