Группа Gamaredon, также известная как Primitive Bear, Shuckworm и ACTINIUM. Cognitive Intelligence Team удалось собрать сетевые IoC, связанные с инфраструктурой Gamaredon. В ходе первоначального анализа большинство индикаторов не были напрямую связаны с конкретным вредоносным ПО, а скорее были указаны как часть инфраструктуры Gamaredon.
Gamaredon
На первом этапе своих атак Gamaredon часто использует вредоносные офисные файлы, распространяемые через spear phishing. Известно, что они используют маяк PowerShell под названием PowerPunch для загрузки и выполнения вредоносного ПО на последующих этапах атак. Pterodo и QuietSieve - популярные семейства вредоносных программ, которые они используют для кражи информации и выполнения различных действий на объекте.
Indicators of Compromise
IPv4
- 109.95.211.0
- 139.180.196.149
- 185.104.114.0
- 188.225.77.0
- 188.225.82.0
- 194.58.100.0
- 194.58.112.0
- 194.58.92.0
- 194.67.112.0
- 194.67.71.0
- 45.135.134.139
- 89.108.81.0
- 91.229.91.124
- 94.228.120.0
- 94.228.123.0
- 95.183.12.42
Network Blocks
- 109.95.211.0/24
- 139.180.196.149/32
- 185.104.114.0/24
- 188.225.77.0/24
- 188.225.82.0/24
- 194.58.100.0/24
- 194.58.112.0/24
- 194.58.92.0/24
- 194.67.112.0/24
- 194.67.71.0/24
- 45.135.134.139/32
- 89.108.81.0/24
- 91.229.91.124/32
- 94.228.120.0/24
- 94.228.123.0/24
- 95.183.12.42/32
Domains
- acetica.online
- achilleas.xyz
- alacritas.ru
- anisoptera.online
- apusa.xyz
- arvensis.xyz
- atlanticos.site
- barbatus.online
- bitsadmin2.space
- bitsadmin3.space
- bonitol.online
- buhse.xyz
- calendas.ru
- coagula.online
- corolain.ru
- email-smtp.online
- erythrocephala.online
- goloser.ru
- gorigan.ru
- gorimana.site
- gurmou.site
- hamadryas.online
- intumescere.online
- krashand.ru
- libellus.ru
- limosa.online
- mail-check.ru
- melitaeas.online
- mesant.online
- mullus.online
- office360-expert.online
- sufflari.online
- upload-dt.hopto.org
SHA256
- 03220baa1eb0ad80808a682543ba1da0ec5d56bf48391a268ba55ff3ba848d2f
- 0b525e66587e564db10bb814495aefb5884d74745297f33503d32b1fec78343f
- 11d6a641f8eeb76ae734951383b39592bc1ad3c543486dcef772c14a260a840a
- 13b780800c94410b3d68060030b5ff62e9a320a71c02963603ae65abbf150d36
- 17b278045a8814170e06d7532e17b831bede8d968ee1a562ca2e9e9b9634c286
- 1c7804155248e2596ec9de97e5cddcddbafbb5c6d066d972bad051f81bbde5c4
- 23d417cd0d3dc0517adb49b10ef11d53e173ae7b427dbb6a7ddf45180056c029
- 250bd134a910605b1c4daf212e19b5e1a50eb761a566fffed774b6138e463bbc
- 31afda4abdc26d379b848d214c8cbd0b7dc4d62a062723511a98953bebe8cbfc
- 3cbe7d544ef4c8ff8e5c1e101dbdf5316d0cfbe32658d8b9209f922309162bcf
- 404ed6164154e8fb7fdd654050305cf02835d169c75213c5333254119fc51a83
- 418aacdb3bbe391a1bcb34050081bd456c3f027892f1a944db4c4a74475d0f82
- 41b7a58d0d663afcdb45ed2706b5b39e1c772efd9314f6c1d1ac015468ea82f4
- 436d2e6da753648cbf7b6b13f0dc855adf51c014e6a778ce1901f2e69bd16360
- 4943ca6ffef366386b5bdc39ea28ad0f60180a54241cf1bee97637e5e552c9a3
- 4acfb73e121a49c20423a6d72c75614b438ec53ca6f84173a6a27d52f0466573
- 4c12713ef851e277a66d985f666ac68e73ae21a82d8dcfcedf781c935d640f52
- 4e72fbc5a8c9be5f3ebe56fed9f613cfa5885958c659a2370f0f908703b0fab7
- 55ad79508f6ccd5015f569ce8c8fcad6f10b1aed930be08ba6c36b2ef1a9fac6
- 611e4b4e3fd15a1694a77555d858fced1b66ff106323eed58b11af2ae663a608
- 8c6a3df1398677c85a6e11982d99a31013486a9c56452b29fc4e3fc8927030ad
- 90cb5319d7b5bb899b1aa684172942f749755bb998de3a63b2bccb51449d1273
- 936b70e0babe7708eda22055db6021aed965083d5bc18aad36bedca993d1442a
- 9b6d89ad4e35ffca32c4f44b75c9cc5dd080fd4ce00a117999c9ad8e231d4418
- 9c8def2c9d2478be94fba8f77abd3b361d01b9a37cb866a994e76abeb0bf971f
- aa566eed1cbb86dab04e170f71213a885832a58737fcab76be63e55f9c60b492
- c3eb8cf3171aa004ea374db410a810e67b3b1e78382d9090ef9426afde276d0f
- cfa58e51ad5ce505480bfc3009fc4f16b900de7b5c78fdd2c6d6c420e0096f6b
- f021b79168daef8a6359b0b14c0002316e9a98dc79f0bf27e59c48032ef21c3d
- f5023effc40e6fbb5415bc0bb0aa572a9cf4020dd59b2003a1ad03d356179aa1
- f9a1d7e896498074f7f3321f1599bd12bdf39222746b756406de4e499afbc86b