EvilProxy IOCs - Part 2

security IOC
Опубликовано

За последние несколько лет в организациях все чаще используется многофакторная аутентификация (MFA). Вопреки ожиданиям, среди арендаторов, имеющих защиту MFA, увеличилось число случаев захвата учетных записей. По нашим данным, не менее 35% всех скомпрометированных пользователей за последний год имели MFA.

Атакующие стороны совершенствуют свои методы компрометации учетных записей; один из них, который мы наблюдали, оказался особенно эффективным. Злоумышленники используют новые усовершенствованные средства автоматизации, позволяющие в режиме реального времени точно определить, является ли сфабрикованный пользователь профилем высокого уровня, и немедленно получить доступ к учетной записи, игнорируя менее прибыльные сфабрикованные профили.

  • За последние полгода исследователи Proofpoint зафиксировали резкий рост числа успешных инцидентов захвата учетных записей в "облаке", затрагивающих высокопоставленных руководителей ведущих компаний, более чем на 100%.
  • Объектами атак стали более 100 организаций по всему миру, в которых работают 1,5 млн сотрудников.
  • Угрозы использовали EvilProxy - фишинговый инструмент, основанный на архитектуре обратного прокси, который позволяет злоумышленникам похищать защищенные MFA учетные данные и куки сеанса.
  • Эта растущая угроза сочетает в себе сложный фишинг по принципу "Adversary-in-the-Middle" с передовыми методами захвата учетных записей, что является реакцией на растущее внедрение многофакторной аутентификации в организациях.

Indicators of Compromise

IPv4

  • 104.183.206.97
  • 154.29.75.192
  • 172.102.23.21
  • 185.241.52.78
  • 185.250.243.176
  • 185.250.243.38
  • 191.96.227.102
  • 198.44.132.249
  • 212.224.107.12
  • 45.8.191.151
  • 45.8.191.17
  • 74.208.49.213
  • 77.91.84.52
  • 78.153.130.178
  • 87.120.37.47
  • 90.92.138.71

Domains

  • 01-net.com
  • 837.best
  • abbotsfordbc.com
  • ae-lrmed.com
  • andrealynnsanders.com
  • bdowh.com
  • cad-3.com
  • cdjcfc.com
  • chiromaflo.com
  • cmzo-eu.cz
  • concur.bond
  • concurcloud.us
  • concursolution.us
  • concursolutions.info
  • cualn.com
  • d8z.net
  • dealemd.com
  • dl2b.com
  • dsa-erie.com
  • dse.best
  • dse.buzz
  • dsena.net
  • e-csg.com
  • etrax.eu
  • farmacgroup.ca
  • faxphoto.com
  • fdh.aero
  • finsw.com
  • fortnelsonbc.com
  • g3u.eu
  • greatbayservices.com
  • gwcea.com
  • indevsys.com
  • inteproinc.com
  • jxh.us
  • k4a.eu
  • kayakingbc.com
  • kirklandellis.net
  • kofisch.com
  • ld3.eu
  • mde45.com
  • mjdac.com
  • n4q.net
  • na3.wiki
  • na-7.com
  • nilyn.us
  • p1q.eu
  • pagetome.com
  • parsfn.com
  • pbcinvestment.com
  • phillipsoc.com
  • pwsarch.com
  • re5.eu
  • sloanecarpet.com
  • ssidaignostica.com
  • tallwind.com.tr
  • ukbarrister.com
  • utnets.com
  • uv-pm.com
  • vleonard.com
  • wattsmed.com
  • whoyiz.com
  • wj-asys.com
  • wmbr.us
  • wwgstaff.com
  • xp1.us
  • xstpl.com

Emails

  • adobesign@adobesign.com
  • autonotification@concursolutions.com
  • dse@eumail.docusign.net

 

Похожие записи:
  1. Bumblebee Loader IOCs
  2. Nerbian RAT IOCs
  3. Bumblebee Malware IOCs
  4. TA423 / Red Ladon APT IOCs
  5. EvilProxy IOCs
EvilProxy Proofpoint
Добавить комментарий