APT34 APT IOCs - part 2

security IOC

2022 декабря Trend Micro обнаружили подозрительный исполняемый файл (обнаруженный компанией Trend Micro как Trojan.MSIL.REDCAP.AD), который был сброшен и запущен на нескольких машинах. Наше расследование позволило связать эту атаку с группой передовых постоянных угроз (APT) APT34, а ее основной целью является кража учетных данных пользователей. Даже в случае сброса или смены пароля вредоносная программа способна отправить новые учетные данные субъектам угрозы.

Более того, проанализировав развернутый вариант бэкдора, Trend Micro обнаружили, что вредоносная программа способна использовать новую технику эксфильтрации - злоупотребление скомпрометированными учетными записями почтовых ящиков для отправки украденных данных из внутренних почтовых ящиков на внешние почтовые ящики, контролируемые злоумышленниками. Хотя эта техника не нова, это первый случай, когда APT34 использовала ее для развертывания своей кампании. После проведенного анализа можно с большой долей вероятности утверждать, что данная кампания является лишь небольшой частью более крупной цепочки развертываний.

Indicators of Compromise

Emails

  • ciara.stoneburner@proton.me
  • earl.butler945@gmail.com
  • jaqueline.herrera@proton.me
  • kathryn.firkins@proton.me
  • marsha.fischer556@gmail.com
  • susan.potts454@proton.me

MD5

  • ab25014c3d6f77ec5880c8f9728be968

SHA1

  • 0e94daa4f2f168418cf352b76ef28d0376c76484

SHA256

  • 1f47770cc42ac8805060004f203a5f537b7473a36ff41eabb746900b2fa24cc8
  • 5ed7ebc339af6ca6a5d1b9b45db6b3ae00232d9ccd80d5fcadf7680320bd4e6b
  • 827366355c6429a7fe12d111e240c5bcec3ed61e717fb84ea8b771672dd1f88e
SEC-1275-1
Добавить комментарий