Cozy Bear (APT29) APT IOCs - Part 4

security IOC
Опубликовано

Cloaked Ursa (они же APT29, UAC-0029, Midnight Blizzard/Nobelium, Cozy Bear), хорошо известны тем, что атакуют дипломатические представительства по всему миру.

Cozy Bear (APT29) APT

В одной из последних кампаний, наблюдавшихся исследователями Unit 42, в качестве отправной точки была использована законная продажа автомобиля BMW дипломатам в Киеве (Украина).

Кампания началась с безобидного и законного события. В середине апреля 2023 г. дипломат Министерства иностранных дел Польши разослал по электронной почте в различные посольства свою законную листовку с объявлением о продаже подержанного седана BMW 5-й серии, находящегося в Киеве. Файл был озаглавлен BMW 5 for sale in Kyiv - 2023.docx.

Продажа надежного автомобиля от доверенного дипломата может стать благом для недавно прибывшего в страну человека, и Cloaked Ursa рассматривает это как возможность.

По оценке Unit 42: Cloaked Ursa, скорее всего, впервые получил и увидел эту законную рекламную листовку в результате взлома почтового сервера одного из получателей письма или в результате другой разведывательной операции. Убедившись в ее ценности в качестве универсальной, но широко привлекательной фишинговой приманки, они переработали ее.

Через две недели, 4 мая 2023 г., "Cloaked Ursa" разослала свою нелегитимную версию этой листовки в несколько дипломатических представительств по всему Киеву. В этих нелегитимных листовках использовались документы Microsoft Word с тем же названием, что и у листовки, присланной польским дипломатом.

Ключевое отличие этих нелегальных версий заключается в том, что если жертва нажимает на ссылку, предлагающую "больше фотографий высокого качества", то служба сокращения URL-адресов (t[.]ly или tinyurl[.]com).

Перенаправляет жертву на легитимный сайт. Этот сайт должен был  замаскирован Cloaked Ursa, что приводит к загрузке вредоносной полезной нагрузки.

Когда жертва пытается просмотреть любую из "высококачественных фотографий"  содержащихся в загружаемом файле, вредоносная программа бесшумно запускается в фоновом режиме.

В фоновом режиме, пока выбранное изображение отображается на экране жертвы.

На самом деле эти картинки представляют собой файлы ярлыков Windows, маскирующиеся под файлы изображений PNG.

Unit 42 наблюдали две версии этих нелегальных листовок. Единственное различие между ними заключается в сокращенном URL-адресе, используемом в каждом случае. В конечном итоге URL-адреса перенаправляют жертву на один и тот же поддельный сайт (hxxps://resetlocations[.]com/bmw.htm).

На момент написания статьи одна из версий листовки (SHA256: 311e9c8cf6d0b295074ffefaa9f277cb1f806343be262c59f88fbdf6fe242517), по данным VirusTotal, была обнаружена как вредоносная несколькими поставщиками, а другая версия (SHA256: 8902bd7d085397745e05883f05c08de87623cc15fe630b36ad3d208f01ef0596) не обнаружена. Полный обзор вредоносных программ приведен в Приложении.

В целом в ходе этой кампании Cloaked Ursa атаковала как минимум 22 из более чем 80 иностранных представительств, расположенных в Киеве. Реальное число целей, скорее всего, больше. Это поразительный размах для узкоспециализированных и тайных APT-операций.

Indicators of Compromise

URLs

  • http://t.ly/1IFg
  • http://tinyurl.com/ysvxa66c
  • https://resetlocations.com/bmw.htm
  • https://simplesalsamix.com/e-yazi.html
  • https://tinyurl.com/mrxcjsbs
  • https://www.willyminiatures.com/e-yazi.html

Emails

  • dawid.tomaszewski@resetlocations.com
  • ops.rejon4@kazmierz.pl

SHA256

  • 03959c22265d0b85f6c94ee15ad878bb4f2956a2b0047733edbd8fdc86defc48
  • 0dd55a234be8e3e07b0eb19f47abe594295889564ce6a9f6e8cc4d3997018839
  • 311e9c8cf6d0b295074ffefaa9f277cb1f806343be262c59f88fbdf6fe242517
  • 38f8b8036ed2a0b5abb8fbf264ee6fd2b82dcd917f60d9f1d8f18d07c26b1534
  • 47e8f705febc94c832307dbf3e6d9c65164099230f4d438f7fe4851d701b580b
  • 60d96d8d3a09f822ded0a3c84194a5d88ed62a979cbb6378545b45b04353bb37
  • 706112ab72c5d770d89736012d48a78e1f7c643977874396c30908fa36f2fed7
  • 79a1402bc77aa2702dc5dca660ca0d1bf08a2923e0a1018da70e7d7c31d9417f
  • 8902bd7d085397745e05883f05c08de87623cc15fe630b36ad3d208f01ef0596
  • c62199ef9c2736d15255f5deaa663158a7bb3615ba9262eb67e3f4adada14111
  • cd4956e4c1a3f7c8c008c4658bb9eba7169aa874c55c12fc748b0ccfe0f4a59a
Похожие записи:
  1. Cozy Bear (APT29) APT IOCs
  2. Tropical Scorpius Ransomware IOCs
  3. ChromeLoader Malware IOCs - Part 2
  4. NOBELIUM (APT29) APT IOCs - Part 2
  5. BlackCat (BlackMatter) APT IOC
APT APT29 Palo Alto Unit 42
Добавить комментарий