UNC1549 APT IOCs - SEC-1275-1

Компания Mandiant опубликовала сообщение в своем блоге о предполагаемой шпионской деятельности, связанной с Ираном, направленной на аэрокосмическую, авиационную и оборонную промышленность в странах Ближнего Востока, включая Израиль и Объединенные Арабские Эмираты (ОАЭ), а также Турцию, Индию и Албанию. Деятельность, которая угрожает безопасности данных и поставки оборонных систем, приписывается иранскому агенту UNC1549, который связан с Tortoiseshell - группой, связанной с Корпусом стражей исламской революции Ирана (КСИР). Эта деятельность началась в июне 2022 года и продолжается в настоящее время. Она характеризуется использованием различных методов для маскировки своей деятельности, включая облачную инфраструктуру Microsoft Azure и социальную инженерию для распространения вредоносного ПО MINIBIKE и MINIBUS.

Содержание

Примечательно, что эта кампания маскируется под движение "Верните их домой сейчас", которое призывает к возвращению израильтян, похищенных и удерживаемых в заложниках ХАМАСом. Специалисты Mandiant обнаружили, что кампания UNC1549 использует поддельные веб-сайты по подбору персонала и поддельные приложения, связанные с ХАМАСом, для доставки вредоносного ПО MINIBUS.

Mandiant установила связь между UNC1549 и КСИР, а также отметила сходство методов этой кампании с другими группами, связанными с Ираном, что свидетельствует о целенаправленной атаке на ближневосточные организации, связанные с оборонным и аэрокосмическим секторами. Компания предупреждает, что эта деятельность остается активной и может использоваться для шпионажа и кинетических операций. Методы уклонения, используемые в этой кампании, затрудняют обнаружение и предотвращение атаки.

Indicators of Compromise

Domains

1stemployer.com
airconnectionapi.azurewebsites.net
airconnectionsapi.azurewebsites.net
airconnectionsapijson.azurewebsites.net
airgadgetsolution.azurewebsites.net
airgadgetsolutions.azurewebsites.net
altnametestapi.azurewebsites.net
answerssurveytest.azurewebsites.net
apphrquestion.azurewebsites.net
apphrquestions.azurewebsites.net
apphrquizapi.azurewebsites.net
arquestions.azurewebsites.net
arquestionsapi.azurewebsites.net
audiomanagerapi.azurewebsites.net
audioservicetestapi.azurewebsites.net
birngthemhomenow.co.il
blognewsalphaapijson.azurewebsites.net
blogvolleyballstatus.azurewebsites.net
blogvolleyballstatusapi.azurewebsites.net
boeisurveyapplications.azurewebsites.net
browsercheckap.azurewebsites.net
browsercheckingapi.azurewebsites.net
browsercheckjson.azurewebsites.net
cashcloudservices.com
changequestionstypeapi.azurewebsites.net
changequestionstypejsonapi.azurewebsites.net
changequestiontypes.azurewebsites.net
changequestiontypesapi.azurewebsites.net
checkapicountryquestions.azurewebsites.net
checkapicountryquestionsjson.azurewebsites.net
checkservicecustomerapi.azurewebsites.net
coffeeonlineshop.azurewebsites.net
coffeeonlineshoping.azurewebsites.net
connectairapijson.azurewebsites.net
connectionhandlerapi.azurewebsites.net
countrybasedquestions.azurewebsites.net
customercareservice.azurewebsites.net
customercareserviceapi.azurewebsites.net
emiratescheckapi.azurewebsites.net
emiratescheckapijson.azurewebsites.net
engineeringrssfeed.azurewebsites.net
engineeringssfeed.azurewebsites.net
exchtestcheckingapi.azurewebsites.net
exchtestcheckingapihealth.azurewebsites.net
flighthelicopterahtest.azurewebsites.net
helicopterahtest.azurewebsites.net
helicopterahtests.azurewebsites.net
helicoptersahtests.azurewebsites.net
hiringarabicregion.azurewebsites.net
homefurniture.azurewebsites.net
hrapplicationtest.azurewebsites.net
humanresourcesapi.azurewebsites.net
humanresourcesapijson.azurewebsites.net
humanresourcesapiquiz.azurewebsites.net
iaidevrssfeed.centralus.cloudapp.azure.com
iaidevrssfeed.centrualus.cloudapp.azure.com
iaidevrssfeed.cloudapp.azure.com
iaidevrssfeedp.cloudapp.azure.com
identifycheckapplication.azurewebsites.net
identifycheckapplications.azurewebsites.net
identifycheckingapplications.azurewebsites.net
ilengineeringrssfeed.azurewebsites.net
integratedblognewfeed.azurewebsites.net
integratedblognews.azurewebsites.net
integratedblognewsapi.azurewebsites.com
integratedblognewsapi.azurewebsites.net
intengineeringrssfeed.azurewebsites.net
intergratedblognewsapi.azurewebsites.net
javaruntime.azurewebsites.net
javaruntimestestapi.azurewebsites.net
javaruntimetestapi.azurewebsites.net
javaruntimeversionchecking.azurewebsites.net
javaruntimeversioncheckingapi.azurewebsites.net
jupyternotebookcollection.azurewebsites.net
jupyternotebookcollections.azurewebsites.net
jupyternotebookcollections.com
jupyternotebookscollection.azurewebsites.net
logsapimanagement.azurewebsites.net
logsapimanagements.azurewebsites.net
logupdatemanagementapi.azurewebsites.net
logupdatemanagementapijson.azurewebsites.net
manpowerfeedapi.azurewebsites.net
manpowerfeedapijson.azurewebsites.net
marineblogapi.azurewebsites.net
notebooktextchecking.azurewebsites.net
notebooktextcheckings.azurewebsites.net
notebooktextcheckings.com
notebooktexts.azurewebsites.net
onequestions.azurewebsites.net
onequestionsapi.azurewebsites.net
onequestionsapicheck.azurewebsites.net
openapplicationcheck.azurewebsites.net
optionalapplication.azurewebsites.net
personalitytestquestionapi.azurewebsites.net
personalizationsurvey.azurewebsites.net
qaquestionapi.azurewebsites.net
qaquestions.azurewebsites.net
qaquestionsapi.azurewebsites.net
qaquestionsapijson.azurewebsites.net
queryfindquestions.azurewebsites.net
queryquestions.azurewebsites.net
questionsapplicationapi.azurewebsites.net
questionsapplicationapijson.azurewebsites.net
questionsapplicationbackup.azurewebsites.net
questionsdatabases.azurewebsites.net
questionsurveyapp.azurewebsites.net
questionsurveyappserver.azurewebsites.net
quiztestapplication.azurewebsites.net
refaeldevrssfeed.centralus.cloudapp.azure.com
regionuaequestions.azurewebsites.net
registerinsurance.azurewebsites.net
roadmapselector.azurewebsites.net
roadmapselectorapi.azurewebsites.net
sportblogs.azurewebsites.net
surveyappquery.azurewebsites.net
surveyonlinetest.azurewebsites.net
surveyonlinetestapi.azurewebsites.net
technewsblogapi.azurewebsites.net
teledyneflir.com.de
testmanagementapi1.azurewebsites.net
testmanagementapis.azurewebsites.net
testmanagementapisjson.azurewebsites.net
testquestionapplicationapi.azurewebsites.net
testtesttes.azurewebsites.net
tiappschecktest.azurewebsites.net
tnlsowki.westus3.cloudapp.azure.com
tnlsowkis.westus3.cloudapp.azure.com
turkairline.azurewebsites.net
uaeaircheckon.azurewebsites.net
uaeairchecks.azurewebsites.net
vscodeupdater.azurewebsites.net
vsliveagent.com
workersquestions.azurewebsites.net
workersquestionsapi.azurewebsites.net
workersquestionsjson.azurewebsites.net
xboxplayservice.com

MD5

01cbaddd7a269521bf7b80f4a9a1982f
054c67236a86d9ab5ec80e16b884f733
05fcace605b525f1bece1813bb18a56c
0a739dbdbcf9a5d8389511732371ecb4
1d8a1756b882a19d98632bc6c1f1f8cd
2c4cdc0e78ef57b44f11f7ec2f6164cd
36e2d9ce19ed045a9840313439d6f18d
3b658afa91ce3327dbfa1cf665529a6d
409c2ac789015e76f9886f1203a73bc0
4a223bc9c6096ac6bae3e7452ed6a1cd
4ed5d74a746461d3faa9f96995a1eec8
601eb396c339a69e7d8c2a3de3b0296d
664cfda4ada6f8b7bb25a5f50cccf984
68f6810f248d032bbb65b391cdb1d5e0
691d0143c0642ff783909f983ccb8ffd
710d1a8b2fc17c381a7f20da5d2d70fc
75d2c686d410ec1f880a6fd7a9800055
816af741c3d6be1397d306841d12e206
89107ce5e27d52b9fa6ae6387138dd3e
909a235ac0349041b38d84e9aab3f3a1
a5e64f196175c5f068e1352aa04bc5fa
a5fdf55c1c50be471946de937f1e46dd
aaef98be8e58be6b96566268c163b6aa
adef679c6aa6860aa89b775dceb6958b
bfd024e64867e6ca44738dd03d4f87b5
c12ff86d32bd10c6c764b71728a51bce
c3830b1381d95aa6f97a58fd8ff3524e
c51bc86beb9e16d1c905160e96d9fa29
c5dc2c75459dc99a42400f6d8b455250
cf32d73c501d5924b3c98383f53fda51
d94ffe668751935b19eaeb93fed1cdbe
e3dc8810da71812b860fc59aeadcc350
e9ed595b24a7eeb34ac52f57eeec6e2b
eadbaabe3b8133426bcf09f7102088d4
ec6a0434b94f51aa1df76a066aa05413
ef262f571cd429d88f629789616365e4
f58e0dfb8f915fa5ce1b7ca50c46b51b