Cozy Bear (APT29) APT IOCs

security IOC
Опубликовано

Начиная с середины января 2022 года, компания Mandiant обнаружила и отреагировала на фишинговую кампанию APT29, направленную на дипломатическое учреждение. В ходе расследования Mandiant выявила развертывание и использование загрузчиков BEATDROP и BOOMMIC. Вскоре после выявления этой кампании Mandiant обнаружила, что APT29 нацелилась на множество других дипломатических и правительственных организаций посредством серии фишинговых волн.

APT29

Фишинговые письма, отправленные APT29, маскировались под уведомления, связанные с различными посольствами, и использовали законные, но кооптированные адреса электронной почты для отправки писем и сервис Trello компании Atlassian для командования и управления (C2). Эти фишинговые письма были похожи на предыдущие фишинговые кампании Nobelium в 2021 году, поскольку они были нацелены на дипломатические организации, использовали ROOTSAW (публично известный как EnvyScout) для доставки дополнительной полезной нагрузки и неправомерно использовали Firebase или DropBox для C2. Неправомерное использование законных веб-сервисов, таких как Trello, Firebase или DropBox, вероятно, является попыткой затруднить обнаружение или устранение последствий.

В феврале 2022 года произошел операционный сдвиг, когда APT29 перешла от использования BEATDROP, который использовал сторонний облачный сервис для получения BEACON, к более простому дропперу BEACON, который полагался на кооптированную инфраструктуру. В последующих разделах мы рассмотрим тактику, методы и процедуры, а также инструменты, использованные APT29 в своих последних фишинговых кампаниях.

Indicator of Compromise

MD5

  • 2f712cdae87cdb7ccc0f4046ffa3281d
  • 363a95777f401df40db61148593ea387
  • 37ea95f7fa8fb51446c18f9f3aa63df3
  • 4ae0b6be7f38e2eb84b881abf5110edc
  • 4af2a3d07062d5d28dad7d3a6dfb0b4b
  • 628799f1f8146038b488c9ed06799b93
  • 6ac740ebf98df7217d31cb826a207af6
  • 8716cec33a4fea1c00d57c4040945d9e
  • 97fa94e60ccc91dcc6e5ee2848f48415
  • a0b4e7622728c317f37ae354b8bc3dbb
  • c23f1af6d1724324f866fe68634396f9
  • da1787c54896a926b4893de19fd2554c
  • e031c9984f65a9060ec1e70fbb84746b

SHA256

  • 207132befb085f413480f8af9fdd690ddf5b9d21a9ea0d4a4e75f34f023ad95d
  • 2f11ca3dcc1d9400e141d8f3ee9a7a0d18e21908e825990f5c22119214fbb2f5
  • 34e7482d689429745dd3866caf5ddd5de52a179db7068f6b545ff51542abb76c
  • 3cb0d2cff9db85c8e816515ddc380ea73850846317b0bb73ea6145c026276948
  • 538d896cf066796d8546a587deea385db9e285f1a7ebf7dcddae22f8d61a2723
  • 6ee1e629494d7b5138386d98bd718b010ee774fe4a4c9d0e069525408bb7b1f7
  • 8bdd318996fb3a947d10042f85b6c6ed29547e1d6ebdc177d5d85fa26859e1ca
  • 8cb64b95931d435e01b835c05c2774b1f66399381b9fa0b3fb8ec07e18f836b0
  • 95bbd494cecc25a422fa35912ec2365f3200d5a18ea4bfad5566432eb0834f9f
  • a896c2d16cadcdedd10390c3af3399361914db57bde1673e46180244e806a1d0
  • e5de12f16af0b174537bbdf779b34a7c66287591323c2ec86845cecdd9d57f53
  • e8da0c4416f4353aad4620b5a83ff84d6d8b9b8a748fdbe96d8a4d02a4a1a03c
  • fdce78f3acfa557414d3f2c6cf95d18bdb8de1f6ffd3585256dfa682a441ac04
Похожие записи:
  1. NOBELIUM (APT29) APT IOCs - Part 2
  2. Cozy Bear (APT29) APT IOCs - Part 4
  3. BlackCat (BlackMatter) APT IOC
  4. TraderTraitor APT IOCs
  5. Earth Berberoka APT IOCs
APT APT29
Добавить комментарий