Sticky Werewolf APT IOCs - Part 2

security IOC
Опубликовано

Кибершпионская APT-группировка Sticky Werewolf пыталась сорвать новогодние праздники и атаковала несколько российских организаций в период новогодних каникул. Так, в период с 2 по 3 января злоумышленники отправили порядка 250 электронных писем на адреса телекоммуникационных компаний.

Защита предоставленная системой F.A.C.C.T., смогла перехватить и заблокировать фишинговые сообщения, отправленные по электронной почте на адреса целей от имени Федеральной Службы Безопасности.

Фишинговое сообщение с заголовком "О предоставлении информации" содержало просьбу предоставить заверенные документы и ссылку на загрузку вредоносной программы. Во время атаки злоумышленники использовали троянский удаленный доступ Darktrack RAT, который они использовали в своих предыдущих атаках.

Письмо было отправлено с бесплатного почтового сервера, что должно было насторожить получателей. Завершалась электронная почта строчкой, которая не характерна для такого серьезного ведомства - "Заранее благодарны за оперативность в предоставлении информации".

В 2022 году Sticky Werewolf уже дважды организовывала подобные атаки на российскую фармацевтическую отрасль, используя Министерство по Чрезвычайным Ситуациям и Минстрой.

Группировка Sticky Werewolf является кибершпионской группировкой, которая в период с апреля по октябрь 2022 года осуществила не менее 30 нападений на государственные учреждения и финансовые компании в России и Белоруссии. Группировка использует в качестве основного метода атаки фишинговые электронные письма со ссылками на вредоносное программное обеспечение, а также трояны удаленного доступа, такие как Darktrack RAT или Ozone RAT.

Indicators of Compromise

IPv4 Port Combinations

  • 185.12.14.32:9658

URLs

  • https://mail.ru-cloud.net/Zapros_115-24-6-2251_page-0001.pdf
  • https://store4.gofile.io/download/direct/b1ff2622-63fd-4ba5-9d77-e22c75105744/Zapros_115-24-6-2251_page-0001.pdf.exe
  • https://store7.gofile.io/download/direct/4f04bdcd-3e0d-4194-880b-ba0881d3fca4/Symlnk.exe

MD5

  • 14cca4bc776a664e85490686fe463c0c
  • 9dfece2bddffebd277333c33e8ac3ece

SHA1

  • 44c8b5517ca7f7b6b981cae138df387aeec0d3cd
  • c1a348bb77e64e30910438078e10cf880102b507

SHA256

  • 17e246cb46a95ef335a287ff757a8d807ab5cc126663bce30d1ec6fd7211c996
  • 211d2e18cb54691ade1002138a7273964993340dc1d8a9adddc6d9b3a1a99ef9
Похожие записи:
  1. ZxxZ RAT IOCs
  2. IceBreaker APT IOCs
  3. RomCom APT IOCs
  4. RedCurl APT IOCs
  5. Sticky Werewolf APT IOCs
APT Darktrack F.A.C.C.T. MetaStealer Ozone Rat Sticky Werewolf
Добавить комментарий