Недавно одному из сборщиков образцов FortiGuard Labs удалось обнаружить инцидент. Он начался с письма, направленного дипломату в Иордании. Как и многие другие подобные атаки, письмо содержало вредоносное вложение. Однако вложенная угроза не была обычной вредоносной программой. Вместо этого она обладала возможностями и методами, которые обычно ассоциируются с современными постоянными угрозами (APT). Судя по методам, использованным в этой атаке, похоже, что это еще одна кампания, запущенная APT34.
Indicators of Compromise
IPv4
- 193.239.84.207
- 45.11.19.47
Domains
- joexpediagroup.com
- asiaworldremit.com
- uber-asia.com
- astrazeneeca.com
- astrazencea.com
- hsbcbkcn.com
- valtronics-ae.com
- ntu-sg-edu.com
- theworldbank.uk
- coinbasedeutschland.com
- cisco0.com
- qwzbabz[four-digits].joexpediagroup.com
- qwzbbbz[four-digits].joexpediagroup.com
- qwzbaez[four-digits].joexpediagroup.com
- qwzbbez[four-digits].joexpediagroup.com
- qwzbcez[four-digits].joexpediagroup.com
- qwzbdez[four-digits].joexpediagroup.com
- qwzbeez[four-digits].joexpediagroup.com
- qwzafzz[four-digits].joexpediagroup.com
- qwzbbfz[four-digits].joexpediagroup.com
SHA256
- 82a0f2b93c5bccf3ef920bae425dd768371248cda9948d5a8e70f3c34e9f7cca
- 7ebbeb2a25da1b09a98e1a373c78486ed2c5a7f2a16eec63e576c99efe0c7a49
- c744da99fe19917e09cd1ecc48b563f9525dad3916e1902f61b79bda35298d87
- e0872958b8d3824089e5e1cfab03d9d98d22b9bcb294463818d721380075a52d
- 26884f872f4fae13da21fa2a24c24e963ee1eb66da47e270246d6d9dc7204c2b