Cozy Bear (APT29) APT IOCs - Part 7

security IOC
Опубликовано

Специалисты Mandiant и Google Threat Analysis Group (TAG) зафиксировали увеличение частоты и масштабов фишинговых операций APT29.

  • Темпы операций APT29 и акцент на Украине увеличились в первой половине 2023 года.
  • За этот период Mandiant отследила существенные изменения в инструментарии и технологиях APT29, которые, вероятно, были призваны поддержать возросшую частоту и масштаб операций и затруднить криминалистический анализ.
  • В разных операциях APT29 одновременно использовала различные цепочки заражения, что указывает на то, что отдельные операторы или подгруппы первоначального доступа, возможно, действуют параллельно для обслуживания различных региональных целей или задач шпионажа.

В ходе расследования недавней активности группы была выявлена активизация операций, направленных на посольства иностранных государств в Украине. Примечательно, что в рамках этой деятельности Mandiant наблюдали фишинговые письма, направленные на широкий спектр дипломатических представительств в Киеве, включая представительства партнеров Москвы, что является первым случаем, когда мы наблюдали подобную активность APT29.

Усиление фишинговой активности APT29 на Украине происходит одновременно с активизацией более рутинных операций по шпионажу в отношении дипломатических учреждений. Приоритетом APT29 по-прежнему являются европейские министерства иностранных дел и посольства, но при этом она проводит операции глобального масштаба, демонстрирующие далеко идущие амбиции и интересы России в других регионах. В настоящее время основное внимание уделяется Азии, а также правительствам Турции (бывшей Турции), Индии и других стратегически важных для Москвы регионов, таких как Африка, которые будут учитываться в приоритетах на 2023 год. Мы считаем, что война России на Украине почти наверняка повлияла на приоритеты APT29 в области шпионажа, но не вытеснила их.

Mandiant считает, что фишинговая деятельность, ориентированная на дипломатию, в оперативном плане отличается от операций APT29 по получению первоначального доступа к "облачным" продуктам Microsoft. Несмотря на то что "облачная" эксплуатация APT29 может привести к компрометации дипломатических структур, различия в масштабах, качестве и целевой направленности этих двух направлений деятельности указывают на то, что это, скорее всего, разные кластеры первоначального доступа, действующие с разными приоритетами и уровнем возможностей. Однако мы продолжаем наблюдать значительное совпадение методов, применяемых после компрометации, в обоих направлениях, что указывает на то, что несколько групп первоначального доступа могут передавать свои действия централизованной группе эксплуатации, оказавшись в среде жертвы.

Наряду с увеличением темпа операций и изменением целевой направленности, Mandiant также наблюдали значительные изменения в инструментарии и мастерстве группы. APT29 переделала несколько своих инструментов и неоднократно вносила итеративные изменения в существующую цепочку доставки вредоносного ПО, вероятно, для обеспечения ее долговечности при длительном постоянном использовании. По нашей оценке, некоторые из этих изменений, скорее всего, специально разработаны для того, чтобы обойти методы исследования и инструменты, обычно используемые сообществом разведки угроз для отслеживания их операций, что свидетельствует о том, что приоритеты оперативной безопасности по-прежнему в значительной степени определяют решения APT29 в отношении инструментария.

Indicators of Compromise

Domains

  • kitaeri.com

URLs

  • https://gavice.ng/event_program.php
  • https://graph.microsoft.com/v1.0/me/drive/root:/Apps/
  • https://graph.microsoft.com/v1.0/me/drive/root:/Apps/Teams_test
  • https://graph.microsoft.com/v1.0/me/drives/442834D38635845C/root:/Apps/legron_application:/children
  • https://kitaeri.com/gen_204
  • https://kitaeri.com/images
  • https://parquesanrafael.cl/note.html
  • https://resetlocations.com/bmw.htm
  • https://sgrhf.org.pk/wp-content/idx.php?n=ks&q=
  • https://sharpledge.com/login.php
  • https://simplesalsamix.com/e-yazi.html
  • https://sylvio.com.br/form.php
  • https://t.ly/1IFg
  • https://tinyurl.com/mrxcjsbs
  • https://tinyurl.com/ysvxa66c
  • https://www.willyminiatures.com/e-yazi.htm/?v=bc78a8d162c6

MD5

  • 0032b8eabdc41e01923fabca5fe8a06b
  • 0065cffe5a1c6a33900b781835aa9693
  • 036ab9f19b63d44aaccf0f965df9434c
  • 0b0707ce90548f0c8b952138fff62742
  • 0be11b4f34ede748892ea49e473d82db
  • 0d5b12c50173a176b0a8ba5a97a831d8
  • 129da1e7c8613fd8c2843d9ec191e30e
  • 1485b591e654327c1d032a901940b149
  • 166f7269c2a69d8d1294a753f9e53214
  • 16d489cc5a91e7dbe74d1c9399534eac
  • 1aee5bf23edb7732fd0e6b2c61a959ce
  • 1c0059d976795ceded7c1dd706e74bd1
  • 1d54c487e6c8a08517fdb8efedfcd459
  • 1ec49b2cb9d4ba265678359e117809b8
  • 1ed822cc08ba08413c4a60023e0d590c
  • 1f21f9948b412f0198f928ed3266786b
  • 22adbffd1dbf3e13d036f936049a2e98
  • 295527e2e38da97167979ade004de880
  • 2d794d1544f933aacbd8da2dad78b381
  • 301a7273418bceaa3fb15b15f69dd32a
  • 33312f16fd5b88470a0e7560954ae459
  • 3f57258dce31ba0c80002130b8657b2b
  • 41944bb155ecf70193245d8c3485dd2e
  • 4355851b6fcf2d44e3fd47f47a5e9502
  • 4a13138e1f38b2817a63417d67038429
  • 4b0921979d3054d9f0dad48e9560b9ca
  • 4c00d883444c78f19c3a1af191614491
  • 4f744666d2a2dc95419208c61e42f163
  • 53270b3968004cb48dac1a1b239ed23d
  • 556857ccb27b527e05415eb6d443aee1
  • 5569fb4e9140974a80b4b7587b026913
  • 595d8ea258ef8d8ec70b0e8a740e903c
  • 5bcf04c0fb0f62fc5f4b83789477a699
  • 5e1389b494edc86e17ff1783ed6b9d37
  • 5ff4831ee70c07e33c1bbe091840d5ee
  • 62b2031f8988105efdf473bdfedd07f5
  • 68cc826c2c58cb74abe3e5ef2123102c
  • 6b41c60c24916e3c32acd90bbd7b92f9
  • 78062da99751c0a520ca4ac9fa59af73
  • 7a5988423f731d8b36d01926e715dd11
  • 800f766f728a4418b0c682a867673341
  • 84b078d4a9e6e2a03e8ae1eca072dc83
  • 854e5c592e93b69b8ab08dbc8a0b673f
  • 880120da2f075155524430ceab7c058e
  • 9159d3c58c5d970ed25c2db9c9487d7a
  • 9685dae9ed8d2bf13b66593c1d7cd2eb
  • 9e42b22d66f0fe0fae24af219773ac87
  • 9e51506816ad620c9e6474c52a9004a6
  • a3067a0262e651e94329869f43a51722
  • ac78497929569682133e02dec9b67870
  • aec65c1e6a6f9b3782174c192780f5b4
  • b051e8efb40c2c435d77f3be77c59488
  • b12a4b8ec485ad9f9c4cae1e25a35db8
  • b1820abc3a1ce2d32af04c18f9d2bfc3
  • b382d0f8b130cd1804782d400a4d4f55
  • b48a16fdf890283cac7484ef0911a1f2
  • bc4b0bd5da76b683cc28849b1eed504d
  • c60aa80e0e58c2758f0bac037ec16dca
  • d67f83dcda6d01bedf08a51df7415d14
  • d6986d991c41afcc2e71fc30bde851d1
  • db2d9d2704d320ecbd606a8720c22559
  • dbc9223af733d0140be136cf32a990d9
  • dd2e5debb0ae8b8bccac5c1fbef6bb5a
  • dfbdd308e22898f680b6c2c8eb052fb5
  • e306333093eaf198f4d416d25a40784a
  • eccf100bc3d6e901f17a0eced5752ca7
  • eeded26943a7b2fdef7608fb21bbfd66
  • efe86302838ad2ab091540f4e0f7b75a
  • f089fd7204552aec41f64b1eb6b03eda
  • f4ef5672af889429d95f111ea65ff490
  • fc47284181f2bb6785e91c9b92710d78
  • fc53c75289309ffb7f65a3513e7519eb
Похожие записи:
  1. Cozy Bear (APT29) APT IOCs
  2. UNC2589 IOCs
  3. APT42: Crooked Charms IOCs
  4. UNC4034 APT IOCs
  5. ZINC APT IOCs
APT APT29 Mandiant Phishing
Добавить комментарий