Недавно Microsoft расследовала атаку, в ходе которой угрожающий агент, отслеживаемый как DEV-0139, воспользовался преимуществами чат-групп Telegram, чтобы атаковать криптовалютные инвестиционные компании. DEV-0139 присоединился к группам Telegram, используемым для общения между VIP-клиентами и платформами обмена криптовалют, и определил свою цель среди участников. Угрожающий агент выдавал себя за представителей другой криптовалютной инвестиционной компании, а в октябре 2022 года пригласил цель в другую чат-группу и сделал вид, что хочет получить отзывы о структуре комиссии, используемой криптовалютными обменными платформами. Действующее лицо угрозы обладало более широкими знаниями в этой специфической части индустрии, что указывает на то, что оно было хорошо подготовлено и осведомлено о текущей проблеме, с которой могут столкнуться целевые компании.
Исследователи из Volexity недавно также опубликовали свои выводы по этой атаке. Как и в случае с любой замеченной деятельностью государственных субъектов, Microsoft напрямую уведомляет клиентов, которые подверглись атаке или взлому, предоставляя им информацию, необходимую для защиты своих учетных записей. Microsoft использует обозначения DEV в качестве временного названия неизвестного, возникающего или развивающегося кластера угроз, что позволяет Центру разведки угроз Microsoft (MSTIC) отслеживать его как уникальный набор информации до тех пор, пока мы не достигнем высокой степени уверенности в происхождении или личности агента, стоящего за этой деятельностью. Как только она соответствует критериям, DEV преобразуется в названного агента.
Indicators of Compromise
IPv4
- 198.54.115.248
Domains
- strainservice.com
URLs
- https://od.lk/d/d021d412be456a6f78a0052a1f0e3557dcfa14bf25f9d0f1d0d2d7dcdac86c73/Background.png
SHA256
- 17e6189c19dedea678969e042c64de2a51dd9fba69ff521571d63fd92e48601b
- 2e8d2525a523b0a47a22a1e9cc9219d6526840d8b819d40d24046b17db8ea3fb
- 82e67114d632795edf29ce1d50a4c1c444846d9e16cd121ce26e63c8dc4a1629
- 90b0a4c9fe8fd0084a5d50ed781c7c8908f6ade44e5654acffea922e281c6b33
- a2d3c41e6812044573a939a51a22d659ec32aea00c26c1a2fdf7466f5c7e1ee9
- abca3253c003af67113f83df2242a7078d5224870b619489015e4fde060acad0
- e5980e18319027f0c28cd2f581e75e755a0dace72f10748852ba5f63a0c99487
- ea31e626368b923419e8966747ca33473e583376095c48e815916ff90382dda5