Фишинговая атака с использованием атрибутов CERT-UA и символики ГЦКЗ Госспецсвязи

phishing IOC
Опубликовано

CERT-UA 10.08.2023 зафиксировано массовое распространение среди государственных органов фишинговых электронных писем с темой "[CERT-UA#5086] Подозрительный вход в ваш почтовый ящик", якобы, от имени CERT-UA с использованием символики ДЦКЗ Госспецсвязи.

Упомянутые письма содержат призыв к изменению пароля и ссылки на веб-ресурс, имитирующий веб-интерфейс программного обеспечения Roundcube.

В случае перехода по ссылке и введения аутентификационных данных, логин и пароль будут отправлены злоумышленнику с помощью HTTP POST-запроса.

На этот раз поддельный веб-ресурс создан с помощью бесплатного сервиса InfinityFree; кроме того, использован субдомен mlcrosoft.rf[.]gd, который, вероятно, должен был бы имитировать сервисы Microsoft.

Indicators of Compromise

IPv4

  • 185.27.134.129
  • 185.88.153.138

Domains

  • mlcrosoft.rf.gd

URLs

  • https://mlcrosoft.rf.gd/mail/?el=3c6d0a4516de3b6a89b373f0d8d6de4cc081154fc3680efbe7b9f9d1
  • https://mlcrosoft.rf.gd/mail/?el=4ef85906f8a881986a3f05fbb699ab0d6096919c73553dbb93c906d6
  • https://mlcrosoft.rf.gd/mail/?el=7247301f1ba605aa98c5b2194819f558986e5d89467041b0da78a04c
  • https://mlcrosoft.rf.gd/mail/inf.php
  • https://mlcrosoft.rf.gd/mail/script.js

Emails

  • hr.damroodi@beroozresaan.com
  • soraya@tataguyz.co.za
Похожие записи:
  1. TrickBot Botnet IOCs - Part 2
  2. Jester Stealer IOCs
  3. CredoMap_v2 Stealer IOCs
  4. Armageddon APT IOCs
  5. INDUSTROYER2 и CADDYWIPER Malware IOCs
CERT-UA Phishing
Добавить комментарий