Gamaredon APT IOCs

Группа Gamaredon, также известная как Primitive Bear, Shuckworm и ACTINIUM. Cognitive Intelligence Team удалось собрать сетевые IoC, связанные с инфраструктурой Gamaredon. В ходе первоначального анализа большинство индикаторов не были напрямую связаны с конкретным вредоносным ПО, а скорее были указаны как часть инфраструктуры Gamaredon.

Gamaredon

На первом этапе своих атак Gamaredon часто использует вредоносные офисные файлы, распространяемые через spear phishing. Известно, что они используют маяк PowerShell под названием PowerPunch для загрузки и выполнения вредоносного ПО на последующих этапах атак. Pterodo и QuietSieve - популярные семейства вредоносных программ, которые они используют для кражи информации и выполнения различных действий на объекте.

Indicators of Compromise

IPv4

• 109.95.211.0
• 139.180.196.149
• 185.104.114.0
• 188.225.77.0
• 188.225.82.0
• 194.58.100.0
• 194.58.112.0
• 194.58.92.0
• 194.67.112.0
• 194.67.71.0
• 45.135.134.139
• 89.108.81.0
• 91.229.91.124
• 94.228.120.0
• 94.228.123.0
• 95.183.12.42

Network Blocks

• 109.95.211.0/24
• 139.180.196.149/32
• 185.104.114.0/24
• 188.225.77.0/24
• 188.225.82.0/24
• 194.58.100.0/24
• 194.58.112.0/24
• 194.58.92.0/24
• 194.67.112.0/24
• 194.67.71.0/24
• 45.135.134.139/32
• 89.108.81.0/24
• 91.229.91.124/32
• 94.228.120.0/24
• 94.228.123.0/24
• 95.183.12.42/32

Domains

• acetica.online
• achilleas.xyz
• alacritas.ru
• anisoptera.online
• apusa.xyz
• arvensis.xyz
• atlanticos.site
• barbatus.online
• bitsadmin2.space
• bitsadmin3.space
• bonitol.online
• buhse.xyz
• calendas.ru
• coagula.online
• corolain.ru
• email-smtp.online
• erythrocephala.online
• goloser.ru
• gorigan.ru
• gorimana.site
• gurmou.site
• hamadryas.online
• intumescere.online
• krashand.ru
• libellus.ru
• limosa.online
• mail-check.ru
• melitaeas.online
• mesant.online
• mullus.online
• office360-expert.online
• sufflari.online
• upload-dt.hopto.org

SHA256

• 03220baa1eb0ad80808a682543ba1da0ec5d56bf48391a268ba55ff3ba848d2f
• 0b525e66587e564db10bb814495aefb5884d74745297f33503d32b1fec78343f
• 11d6a641f8eeb76ae734951383b39592bc1ad3c543486dcef772c14a260a840a
• 13b780800c94410b3d68060030b5ff62e9a320a71c02963603ae65abbf150d36
• 17b278045a8814170e06d7532e17b831bede8d968ee1a562ca2e9e9b9634c286
• 1c7804155248e2596ec9de97e5cddcddbafbb5c6d066d972bad051f81bbde5c4
• 23d417cd0d3dc0517adb49b10ef11d53e173ae7b427dbb6a7ddf45180056c029
• 250bd134a910605b1c4daf212e19b5e1a50eb761a566fffed774b6138e463bbc
• 31afda4abdc26d379b848d214c8cbd0b7dc4d62a062723511a98953bebe8cbfc
• 3cbe7d544ef4c8ff8e5c1e101dbdf5316d0cfbe32658d8b9209f922309162bcf
• 404ed6164154e8fb7fdd654050305cf02835d169c75213c5333254119fc51a83
• 418aacdb3bbe391a1bcb34050081bd456c3f027892f1a944db4c4a74475d0f82
• 41b7a58d0d663afcdb45ed2706b5b39e1c772efd9314f6c1d1ac015468ea82f4
• 436d2e6da753648cbf7b6b13f0dc855adf51c014e6a778ce1901f2e69bd16360
• 4943ca6ffef366386b5bdc39ea28ad0f60180a54241cf1bee97637e5e552c9a3
• 4acfb73e121a49c20423a6d72c75614b438ec53ca6f84173a6a27d52f0466573
• 4c12713ef851e277a66d985f666ac68e73ae21a82d8dcfcedf781c935d640f52
• 4e72fbc5a8c9be5f3ebe56fed9f613cfa5885958c659a2370f0f908703b0fab7
• 55ad79508f6ccd5015f569ce8c8fcad6f10b1aed930be08ba6c36b2ef1a9fac6
• 611e4b4e3fd15a1694a77555d858fced1b66ff106323eed58b11af2ae663a608
• 8c6a3df1398677c85a6e11982d99a31013486a9c56452b29fc4e3fc8927030ad
• 90cb5319d7b5bb899b1aa684172942f749755bb998de3a63b2bccb51449d1273
• 936b70e0babe7708eda22055db6021aed965083d5bc18aad36bedca993d1442a
• 9b6d89ad4e35ffca32c4f44b75c9cc5dd080fd4ce00a117999c9ad8e231d4418
• 9c8def2c9d2478be94fba8f77abd3b361d01b9a37cb866a994e76abeb0bf971f
• aa566eed1cbb86dab04e170f71213a885832a58737fcab76be63e55f9c60b492
• c3eb8cf3171aa004ea374db410a810e67b3b1e78382d9090ef9426afde276d0f
• cfa58e51ad5ce505480bfc3009fc4f16b900de7b5c78fdd2c6d6c420e0096f6b
• f021b79168daef8a6359b0b14c0002316e9a98dc79f0bf27e59c48032ef21c3d
• f5023effc40e6fbb5415bc0bb0aa572a9cf4020dd59b2003a1ad03d356179aa1
• f9a1d7e896498074f7f3321f1599bd12bdf39222746b756406de4e499afbc86b