Исследователи подразделения Secureworks Counter Threat Unit (CTU) расследуют атаки иранской APT-группы COBALT MIRAGE, которая действует как минимум с июня 2020 года. COBALT MIRAGE связана с иранской угрожающей группой COBALT ILLUSION, которая преимущественно использует постоянные фишинговые кампании для получения первоначального доступа. Возможно, что эти две группы используют общие методы работы и доступ.
На основе данных, полученных в ходе реагирования на инциденты Secureworks и публичных сообщений, исследователи CTU определили два различных кластера вторжений COBALT MIRAGE. В кластере А группировка используют BitLocker и DiskCryptor для проведения атак с целью получения финансовой выгоды. Кластер B сосредоточен на целевых вторжениях для получения доступа и сбора разведданных, но некоторые из них экспериментировали с вымогательским ПО.
Indicators of Compromise
IPv4
- 107.173.231.114
- 198.12.65.175
Domains
- ewdesk.top
- onedriver-srv.ml
- symantecserver.co
- microsoft-updateserver.cf
- msupdate.us
- service-management.tk
- aptmirror.eu
- winstore.us
- my-logford.ml
- gupdate.us
- tcp443.org
Emails
- amirbitminer@gmail.com
- thund3rz@protonmail.com
MD5
- 5f098b55f94f5a448ca28904a57c0e58
- 0f8b592126cc2be0e9967d21c40806bc
- c8bd04b93ac9b95b712a84f119b31959
- b90f05b5e705e0b0cb47f51b985f84db
- 8493325c9ff1a073d85b768703d594b4
- b22b4531dce8a9cb16ecb9e4c17daea3
SHA1
- 27102b416ef5df186bd8b35190c2a4cc4e2fbf37
- 3da45558d8098eb41ed7db5115af5a2c61c543af
- 1bf98c565cbfc4a500fab1d44b0f7c357d87abf6
- 5100230b454c33c05d1aef4235898543595ba378
- 39831dcae48c34dc61741b640f5bbdada97cf66e
- 7f310ac9423852b7a0af0c898c3404b3b47cbf53
SHA256
- 668ec78916bab79e707dc99fdecfa10f3c87ee36d4dee6e3502d1f5663a428a0
- 724d54971c0bba8ff32aeb6044d3b3fd571b13a4c19cada015ea4bcab30cae26
- 24a73efb6dcc798f1b8a08ccf3fa2263ff61587210fdec1f2b7641f05550fe3b
- e6f4ce982908108759536f5aff21fa6686b8ea8153fdd4cdd087cceff5f1748a
- 9dce6086c61c23420ac497f306debf32731decc5527231002dbb69523fad3369