Компания Recorded Future's Insikt Group продолжает отслеживать операции направленные на правительственные организации и организации частного сектора в различных географических регионах. Начиная с середины 2021 года, сбор данных Recorded Future по промежуточным точкам выявил устойчивый рост использования инфраструктуры NOBELIUM, отслеживаемой Insikt Group как SOLARDEFLECTION.
NOBELIUM
Анализ недавних и исторических доменов демонстрирует знакомство группы с различными СМИ, новостными и технологическими провайдерами и ее склонность подражать им. Группа использовала динамическое разрешение DNS для создания и разрешения произвольно созданных поддоменов для своих C2 или корневых доменов, чтобы ввести жертв в заблуждение. Ключевым аспектом этих атак является использование адресов электронной почты или URL-адресов, которые выглядят похожими на домен законной организации. Потенциально опасные регистрации доменов и типосквоты могут способствовать проведению копьеметательных кампаний или перенаправлений, представляющих повышенный риск для бренда компании или ее сотрудников. Успешный spearphish зависит от таких факторов, как качество сообщения, достоверность адреса отправителя и, в случае перенаправления URL-адреса, достоверность доменного имени. Insikt Group ранее наблюдала, как другие российские нексус-группы использовали опечатки в поддержку операций, например, направленных на президентские выборы 2020 года, чтобы повысить доверие к достоверности мошеннического портала, используемого для сбора учетных данных жертв. Об этой тактике также недавно сообщалось в открытых источниках в связи с вторжениями на предприятия в Украине, вероятно, в поддержку вторжения России в эту страну.
В 2021 году компания Volexity опубликовала исследование, в котором говорится о предполагаемой фишинговой операции APT29, направленной на неправительственные организации (НПО), исследовательские институты, правительства и международные органы, с использованием приманок на тему мошенничества на выборах, якобы отправленных от Агентства США по международному развитию (USAID), правительственного агентства. В тот же день Microsoft опубликовала результаты исследования более широких ТТП, использованных в той же кампании, и приписала эти действия NOBELIUM, группе, стоящей за вторжениями SolarWinds. Эта кампания была направлена на чувствительные дипломатические и правительственные учреждения еще в феврале 2021 года. Они считают, что угрожающий субъект использовал эту информацию для проведения других целевых атак в рамках более широкой кампании. Дополнительное исследование подтвердило, что кластер инфраструктуры, отслеживаемый Insikt Group под обозначением SOLARDEFLECTION с 2021 года, пересекается с этой предыдущей отчетностью. Текущие обнаружения в канале безопасности Recorded Future Command and Control помогли подтвердить регистрацию новых доменов, связанных с операциями NOBELIUM.
Indicator of Compromise
IPv4
- 103.232.53.230
- 13.67.239.91
- 139.99.167.177
- 139.99.178.56
- 159.65.184.99
- 195.206.181.169
- 45.179.89.37
- 45.32.59.31
Domains
- 60daybusinessaudit.com
- alifemap.com
- an-4news.com
- api.pcocot.com
- bfilmnews.com
- cbdnewsandreviews.net
- celebsinformation.com
- cityloss.com
- crochetnews.com
- d2rwiki.net
- dom-news.com
- eblogpro.com
- eu-elb-10.rsa.eu.com
- eu-elb-11.carbonblack.eu.com
- exdiy.com
- fashionnewsarticles.com
- faststartbusiness.com
- forward.splunk.eu.com
- galatinonews.com
- globaltrademotors.com
- glogln.com
- hanproud.com
- hefuel.com
- herosofthestorms.com
- hostwt.com
- mergers.ftclibrary-gov.com
- mic.dnsrd.com
- midcitylanews.com
- mindsetsoft.com
- news-techh.com
- newstepsco.com
- nextgencpe.com
- nordicmademedia.com
- onlinebusinessadviceuk.com
- ovenfinance.com
- pcocot.com
- petslifenews.com
- pharaosjournal.com
- proracingnews.com
- quiz.stakeverflow.com
- rchosts.com
- ret.workman-alerts.co.uk
- saab.dnset.com
- shebelnews.com
- spaceheaterpro.com
- stockmarketon.com
- stonecrestnews.com
- stsnews.com
- support.starbulk.gr
- tacomanewspaper.com
- teachingdrive.com
- theadminforum.com
- theanalyticsnews.com
- themobilecard.com
- thetravelerspledge.com
- theworldnewsgazette.com
- theyardservice.com
- trendignews.com
- tsubux.com
- update.aviraoperations.com
- userdelivery.com
- vmtoolsupdate.com
- worldhomeoutlet.com
- www.windowsupdate.com
- zinczone.com
SHA256
- 147991cd55a00ebb2ffe8053e49f40d13d334c54d073b083578bbbedcd6b2389
- 1b0318224a1d139510139e1765c5e7b1295fc29c0ee861ea33a1ff4f68a93023
- 1f5a915e75ad96e560cee3e24861cf6f8de299fdf79e1829453defbfe2013239
- 3fcefd837ff32d28ccf3edb65954e595f8bdc06c9975e3cb46b71eefcf1ca770
- 43886ea4e57b421bb15bb26f949ef3b1d9056229357b62babb7fec56f7cd0975
- 6473dbb511354618ff5dc332f9a0c035ba6f2699431e2d2e766c830136afb64d
- 6ee1e629494d7b5138386d98bd718b010ee774fe4a4c9d0e069525408bb7b1f7
- 76975c897d6010e1faec7c2c4cb4fbf3aa5b09c7cf80fc8fa05831c2439db86a
- 90fb7b856c0d34eaeca78e85a4ad5d699cff6b4140a3514061068232a68bc95a
- 92534b3d5e69c0be7dad0efed6b5f0133ef00c0227a42853dc62cc383ca747c5
- a4f1f09a2b9bc87de90891da6c0fca28e2f88fd67034648060cef9862af9a3bf
- c4ff632696ec6e406388e1d42421b3cd3b5f79dcb2df67e2022d961d5f5a9e78
- c6a3e82482d42b361d794bee779bff231082e15a7d2552093c46e7136a2c00c5
- ee42ddacbd202008bcc1312e548e1d9ac670dd3d86c999606a3a01d464a2a330
- ee44c0692fd2ab2f01d17ca4b58ca6c7f79388cbc681f885bb17ec946514088c
- fbd2233ff798f26fb3998f5149af251f07fe4fa06b255dd6b991a569ae8097d5
- ffa980b2a4a88c68f62288de56e9cfccacbb3f738492f98dff419c5f2f897377