Ghostwriter APT IOCs

security IOC

Ghostwriter недавно возобновил атаку на учетные записи Gmail с помощью фишинга учетных данных. Эта кампания, направленная на лиц с высоким уровнем риска, содержала ссылки, ведущие на скомпрометированные веб-сайты, где размещалась фишинговая страница первого этапа. Если пользователь нажимал кнопку "Продолжить", он перенаправлялся на контролируемый злоумышленниками сайт, где собирались учетные данные пользователя. В результате этой кампании не было скомпрометировано ни одного аккаунта, и Google предупредит всех целевых пользователей об этих попытках с помощью ежемесячных правительственных предупреждений о злоумышленниках.

Table of Contents

В середине апреля компания TAG обнаружила фишинговую кампанию Ghostwriter credential phishing, направленную на пользователей Facebook. Целям, в основном находящимся в Литве, были отправлены ссылки на контролируемые злоумышленниками домены с домена, поддельного командой безопасности Facebook.

Indicators of Compromise

  • noreply.accountsverify.top
  • microsoftonline.email-verify.top
  • lt-microsoftgroup.serure-email.online
  • facebook.com-validation.top
  • lt-meta.com-verification.top
  • lt-facebook.com-verification.top

E-mail

  • secure@facebookgroup.lt
SEC-1275-1
Добавить комментарий