BlueNoroff APT IOCs

security IOC
Опубликовано

Группа BlueNoroff является финансово мотивированным субъектом угроз, стремящимся получить прибыль от своих возможностей кибератак. Мы уже публиковали технические подробности того, как эта печально известная группа крадет криптовалюту. Мы продолжаем отслеживать деятельность группы и в октябре этого года наблюдали появление в ее арсенале новых штаммов вредоносного ПО. Обычно группа использует документы Word и файлы быстрого доступа для первоначального проникновения. Однако в последнее время она начала применять новые методы доставки вредоносного ПО.

BlueNoroff APT

Первый новый метод, принятый группой, направлен на обход флага Mark-of-the-Web (MOTW) - меры безопасности, при которой Windows выводит предупреждающее сообщение, когда пользователь пытается открыть файл, загруженный из Интернета. Для этого были использованы форматы файлов образа оптического диска (расширение .iso) и виртуального жесткого диска (расширение .vhd). Это распространенная тактика, используемая в настоящее время для обхода MOTW, и BlueNoroff также взял ее на вооружение.

Кроме того, группа тестировала различные типы файлов, чтобы усовершенствовать методы доставки вредоносного ПО. Мы заметили новый Visual Basic Script, ранее невиданный пакетный файл Windows и исполняемый файл Windows. Судя по всему, агенты, стоящие за BlueNoroff, расширяют или экспериментируют с новыми типами файлов, чтобы эффективно передавать свои вредоносные программы.

Изучив использованную инфраструктуру, Kaspesky Lab обнаружили более 70 доменов, используемых этой группой, что означает, что до недавнего времени они были очень активны. Кроме того, они создали множество поддельных доменов, похожих на домены венчурных и банковских компаний. Большинство доменов имитируют японские венчурные компании, что говорит о том, что группа проявляет большой интерес к японским финансовым организациям.

  • BlueNoroff ввела новые типы файлов, чтобы обойти меры безопасности Mark-of-the-Web (MOTW);
  • BleuNoroff расширила типы файлов и усовершенствовала методы заражения;
  • BlueNoroff создала множество поддельных доменов, выдавая себя за венчурные компании и банки.

Indicators of Compromise

IPv4

  • 104.168.174.80
  • 152.89.247.87
  • 172.86.121.130

URLs

  • http://avid.lno-prima.lol/NafqhbXR7KC/rTVCtCpxPH/kMjTqFDDNt/fiOHK5H35B/bM%3D
  • http://avid.lno-prima.lol/VcIf1hLJopY/shU_pJgW2Y/KvSuUJYGoa/sX+Xk4Go/gGhI=
  • http://offerings.cloud/NafqhbXR7KC/rTVCtCpxPH/pdQTpFN6FC/Lhr_wXGXix/nQ%3D
  • https://bankofamerica.us.org/lsizTZCslJm/W+Ltv_Pa/qUi+KSaD/_rzNkkGuW6/cQHgsE=
  • https://docs.azure-protection.cloud/%2BgFJKOpVX/4vRuFIaGlI/D%2BOfpTtg/YTN0TU1BNx/bMA5aGuZZP/ODq7aFQ%3D/%3D
  • https://docs.azure-protection.cloud/+gFJKOpVX/4vRuFIaGlI/D+OfpTtg/YTN0TU1BNx/bMA5aGuZZP/ODq7aFQ%3D/%3D
  • https://docs.azure-protection.cloud/EMPxSKTgrr3/2CKnoSNLFF/0d6rQrBEMv/gGFroIw5_m/n9hLXkEOy3/wyQ%3D%3D
  • https://www.capmarketreport.com/packageupd.msi?ccop=RoPbnVqYd

MD5

  • 087407551649376d90d1743bac75aac8
  • 1e3df8ee796fc8a13731c6de1aed0818
  • 21e9ddd5753363c9a1f36240f989d3a9
  • 4c0fb06320d1b7ecf44ffd0442fc10ed
  • 61a227bf4c5c1514f5cbd2f37d98ef5b
  • 931d0969654af3f77fc1dab9e2bd66b1
  • a17e9fc78706431ffc8b3085380fe29f
  • d3503e87df528ce3b07ca6d94d1ba9fc
  • d8f6290517c114e73e03ab30165098f6
  • f766f97eb213d81bf15c02d4681c50a4
Похожие записи:
  1. TraderTraitor APT IOCs
  2. DiceyF APT IOCs
  3. CommonMagic APT IOCs
  4. Tomiris APT IOCs
  5. BlueNoroff APT IOCs - Part 2
APT BlueNoroff Kaspersky Lab
Добавить комментарий