Cozy Bear (APT29) APT IOCs - Part 9

security IOC
Опубликовано

)Advanced Persistent Threat 29 (APT 29) , также известные как the Dukes, CozyBear и NOBELIUM/Midnight Blizzard, используют CVE-2023-42793 в больших масштабах, атакуя серверы с программным обеспечением JetBrains TeamCity с сентября 2023 года.

Разработчики программного обеспечения используют ПО TeamCity для управления и автоматизации компиляции, сборки, тестирования и выпуска программного обеспечения. Если доступ к серверу TeamCity будет взломан, злоумышленники получат доступ к исходному коду разработчика ПО, сертификатам подписи и возможность нарушить процессы компиляции и развертывания ПО - доступ, который злоумышленники могут использовать для осуществления операций в цепочке поставок.

Хотя APT29 использовала такой доступ для компрометации SolarWinds и ее клиентов в 2020 году, ограниченное количество и, похоже, оппортунистические типы жертв, выявленные в настоящее время, указывают на то, что не использовала доступ, предоставляемый TeamCity CVE, подобным образом. Однако было замечено, что APT29 использовала первоначальный доступ, полученный в результате эксплуатации TeamCity CVE, для повышения своих привилегий, продвижения вбок, развертывания дополнительных бэкдоров и других действий, направленных на обеспечение постоянного и долгосрочного доступа к взломанным сетевым средам.

Indicators of Compromise

IPv4

  • 103.76.128.34
  • 65.20.97.203
  • 65.21.51.58

URLs

  • https://matclick.com/wp-query.php

SHA256

  • 01b5f7094de0b2c6f8e28aa9a2ded678c166d615530e595621e692a9c0240732
  • 18101518eae3eec6ebe453de4c4c380160774d7c3ed5c79e1813013ac1bb0b93
  • 19f1ef66e449cf2a2b0283dbb756850cca396114286e1485e35e6c672c9c3641
  • 1e74cf0223d57fd846e171f4a58790280d4593df1f23132044076560a5455ff8
  • 219fb90d2e88a2197a9e08b0e7811e2e0bd23d59233287587ccc4642c2cf3d67
  • 34c8f155601a3948ddb0d60b582cfe87de970d443cc0e05df48b1a1ad2e42b5e
  • 4bf1915785d7c6e0987eb9c15857f7ac67dc365177a1707b14822131d43a6166
  • 4ee70128c70d646c5c2a9a17ad05949cb1fbf1043e9d671998812b2dce75cf0f
  • 620d2bf14fe345eef618fdd1dac242b3a0bb65ccb75699fe00f7c671f2c1d869
  • 773f0102720af2957859d6930cd09693824d87db705b3303cef9ee794375ce13
  • 7b666b978dbbe7c032cef19a90993e8e4922b743ee839632bfa6d99314ea6c53
  • 8afb71b7ce511b0bce642f46d6fc5dd79fad86a58223061b684313966efef9c7
  • 92c7693e82a90d08249edeafbca6533fed81b62e9e056dec34c24756e0a130a6
  • 950adbaf66ab214de837e6f1c00921c501746616a882ea8c42f1bad5f9b6eff4
  • 971f0ced6c42dd2b6e3ea3e6c54d0081cf9b06e79a38c2ede3a2c5228c27a6dc
  • b53e27c79eed8531b1e05827ace2362603fb9f77f53cee2e34940d570217cbf7
  • c37c109171f32456bbe57b8676cc533091e387e6ba733fbaa01175c43cfb6ebd
  • c40a8006a7b1f10b1b42fdd8d6d0f434be503fb3400fb948ac9ab8ddfa5b78a0
  • c7b01242d2e15c3da0f45b8adec4e6913e534849cde16a2a6c480045e03fbee4
  • c832462c15c8041191f190f7a88d25089d57f78e97161c3003d68d0cc2c4baa3
  • cb83e5cb264161c28de76a44d0edb450745e773d24bec5869d85f69633e44dcf
  • cd3584d61c2724f927553770924149bb51811742a461146b15b34a26c92cad43
  • d724728344fcf3812a0664a80270f7b4980b82342449a8c5a2fa510e10600443
  • ebe231c90fad02590fc56d5840acc63b90312b0e2fee7da3c7606027ed92600e
  • f1b40e6e5a7cbc22f7a0bd34607b13e7e3493b8aad7431c47f1366f0256e23eb
  • f6194121e1540c3553273709127dfa1daab96b0acfab6e92548bfb4059913c69
Похожие записи:
  1. Cozy Bear (APT29) APT IOCs
  2. NOBELIUM (APT29) APT IOCs - Part 2
  3. Cozy Bear (APT29) APT IOCs - Part 4
  4. Cozy Bear (APT29) APT IOCs - Part 5
  5. Угрозы, эксплуатирующие уязвимости Ivanti EPMM
APT APT29 CISA CVE-2023-42793
Добавить комментарий