FROZENBARENTS (она же Sandworm) остается наиболее универсальным кибер-субъектом с наступательными возможностями, включая фишинг учетных данных, мобильную активность, вредоносное ПО, внешнюю эксплуатацию сервисов и другие. Их целью являются сектора, представляющие интерес для российской разведки, включая правительство, оборону, энергетику, транспорт/логистику, образование и гуманитарные организации.
FROZENBARENTS продолжает эксплуатировать почтовые серверы EXIM по всему миру и использовать эти взломанные узлы в качестве части своей операционной сети, причем эта тенденция продолжается как минимум с августа 2019 года. Эти взломанные узлы были замечены в доступе к сетям жертв, взаимодействии с учетными записями жертв, отправке вредоносных электронных писем и участии в информационных операциях (IO).
Sandworm APT IOCs
Indicators of Compromise
IPv4
- 104.156.149.126
- 181.119.30.71
- 45.124.86.84
- 45.56.93.83
- 45.76.31.101
- 68.76.150.97
- 85.240.182.23
Domains
- chatgpt4beta.com
- cpcpipe.com
- cpcpipe.org
- masterofdigital.org
- meta-l.space
- passport-log.online
- passport-ua.site
- robot-876.frge.io
- setnewcreds.ukr.net.frge.io
- telegram.org.4234e8234ad0f.24o1.com
- telegram.org.security.ohsxy.com
- ukroboronprom.com.ukr.pm
- ukrprivatesite.frge.io
URLs
- https://biogenie.substack.com
- https://t.me/s/bio_genie
Emails
- mod2023@masterofdigital.org
- openai@chatgpt4beta.com
- support@passport-ua.online
SHA256
- 4f0b12caa97e52f3d2edada9133f2e4a3442953d14c8ed12deb7219c722ea197
- c80656fe59bdeb3e701d1f7eeaaba2ef673368b2c4947945f598e3e84a6cb7f8