COBALT MIRAGE APT IOCs

security IOC

Исследователи подразделения Secureworks Counter Threat Unit (CTU) расследуют атаки иранской APT-группы COBALT MIRAGE, которая действует как минимум с июня 2020 года. COBALT MIRAGE связана с иранской угрожающей группой COBALT ILLUSION, которая преимущественно использует постоянные фишинговые кампании для получения первоначального доступа. Возможно, что эти две группы используют общие методы работы и доступ.

На основе данных, полученных в ходе реагирования на инциденты Secureworks и публичных сообщений, исследователи CTU определили два различных кластера вторжений COBALT MIRAGE. В кластере А группировка  используют BitLocker и DiskCryptor для проведения атак с целью получения финансовой выгоды. Кластер B сосредоточен на целевых вторжениях для получения доступа и сбора разведданных, но некоторые из них экспериментировали с вымогательским ПО.

Indicators of Compromise

IPv4

  • 107.173.231.114
  • 198.12.65.175

Domains

  • ewdesk.top
  • onedriver-srv.ml
  • symantecserver.co
  • microsoft-updateserver.cf
  • msupdate.us
  • service-management.tk
  • aptmirror.eu
  • winstore.us
  • my-logford.ml
  • gupdate.us
  • tcp443.org

Emails

  • amirbitminer@gmail.com
  • thund3rz@protonmail.com

MD5

  • 5f098b55f94f5a448ca28904a57c0e58
  • 0f8b592126cc2be0e9967d21c40806bc
  • c8bd04b93ac9b95b712a84f119b31959
  • b90f05b5e705e0b0cb47f51b985f84db
  • 8493325c9ff1a073d85b768703d594b4
  • b22b4531dce8a9cb16ecb9e4c17daea3

SHA1

  • 27102b416ef5df186bd8b35190c2a4cc4e2fbf37
  • 3da45558d8098eb41ed7db5115af5a2c61c543af
  • 1bf98c565cbfc4a500fab1d44b0f7c357d87abf6
  • 5100230b454c33c05d1aef4235898543595ba378
  • 39831dcae48c34dc61741b640f5bbdada97cf66e
  • 7f310ac9423852b7a0af0c898c3404b3b47cbf53

SHA256

  • 668ec78916bab79e707dc99fdecfa10f3c87ee36d4dee6e3502d1f5663a428a0
  • 724d54971c0bba8ff32aeb6044d3b3fd571b13a4c19cada015ea4bcab30cae26
  • 24a73efb6dcc798f1b8a08ccf3fa2263ff61587210fdec1f2b7641f05550fe3b
  • e6f4ce982908108759536f5aff21fa6686b8ea8153fdd4cdd087cceff5f1748a
  • 9dce6086c61c23420ac497f306debf32731decc5527231002dbb69523fad3369
SEC-1275-1
Добавить комментарий