Les marqueurs techniques suivants sont associés à l'infrastructure d'attaque utilisée par le groupe cybercriminel TA505 depuis 2019 (voir la publication CERTFR-2021-CTI-002). Ils peuvent être utilisés à des fins de recherche de compromission dans des journaux historiques ou de détection temps réel pour les plus récents.
Il est également recommandé de bloquer tous les flux impliquant des adresses IP sur les plages « 91.214.124.0/24 » et « 176.121.14.0/24 » correspondant à des hébergements "bulletproof" uniquement utilisés à des fins malveillantes.
TÉLÉCHARGER LES MARQUEURS RÉSEAU (CSV SIMPLE)
TÉLÉCHARGER LES MARQUEURS RÉSEAU (CSV MISP)
TÉLÉCHARGER TOUS LES MARQUEURS (JSON MISP)
Toute communication depuis ou vers cette infrastructure ne constitue pas une preuve de compromission mais doit être analysée afin de lever le doute.