UNC2975 - это кластер угроз распространения, который исторически использовал вредоносную рекламу для распространения загрузчика на основе VBScript, отслеживаемого как PAPERDROP. Распространение PAPERDROP с поддельных веб-сайтов UNC2975 в основном привело к развертыванию бэкдора DANABOT на базе Delphi.
DANABOT является частью платформы "вредоносное ПО как услуга", где несколько филиалов могут приобрести доступ к сервису. Начиная с сентября 2023 года распространение вредоносного ПО UNC2975 изменилось. Вместо DANABOT UNC2975 развернул бэкдор на базе Delphi, отслеживаемый как часть платформы DARKGATE Malware-as-a-Service. Из-за того, что несколько филиалов используют эти сервисные платформы, методы распространения DANABOT и DARKGATE могут отличаться у разных субъектов распространения.
UNC2975 создает поддельные веб-сайты, использующие такие темы, как невостребованные деньги, семейное происхождение и астрология/гороскопы, для облегчения своих операций по распространению. Для продвижения поддельных веб-сайтов группа угроз обычно использовала рекламу в социальных сетях, но впоследствии стала использовать и другие платформы.
Indicators of Compromise
IPv4
- 34.16.181.0
- 35.203.111.228
- 35.247.194.72
- 47.252.33.131
- 47.252.45.173
- 47.253.141.12
- 47.253.165.1
- 8.209.99.230
- 94.228.169.143
Domains
- arlington.barracudas.sbs
- bikeontop.shop
- capitalfinders.org
- claimunclaimed.org
- dreamteamup.shop
- durham.soulcarelife.org
- freelookup.org
- gfind.org
- infocatalog.pics
- lewru.top
- lugbara.top
- mesa.halibut.sbs
- pittsburgh.soulcarelife.org
- plano.soulcarelife.org
- positivereview.cloud
- thebesttime.buzz
- treasurydept.org
- whatup.cloud
- www.assetfinder.org
- www.claimprocessing.org
- www.myunclaimedcash.org
- www.treasurydept.org
MD5
- 2c16eafd0023ea5cb8e9537da442047e
- 650b0b12b21e9664d5c771d78738cf9f
- 7544f5bb88ad481f720a9d9f94d95b30
- 862a42a91b5734062d47c37fdd80c633
- 9120c82b0920b9db39894107b5494ccd
- 9f9c5a1269667171e1ac328f7f7f6cb3