APT42, иранский государственный субъект кибершпионажа, использует социальную инженерную схемы для получения доступа к сетям жертв, включая облачные среды. Он направлен на западные и ближневосточные НПО, медиа, научные круги, юридические службы и активистов. Он выдает себя за журналистов и организаторов мероприятий, чтобы установить доверительные отношения со своими жертвами и собрать учетные данные.
Он также использует вредоносное ПО и пользовательские бэкдоры, такие как NICECURL и TAMECAT, которые распространяются через фишинг, чтобы получить доступ к системам и развернуть другие вредоносные программы. APT42 является частью разведывательной организации Корпуса стражей исламской революции и имеет связи с другими кибершпионажными группами. В марте 2023 года они использовали фальшивую страницу входа в Gmail для атаки на журналиста-фрилансера.
Indicators of Compromise
Domains
- acconut-signin.com
- account-signin.com
- accounts-mails.com
- accredit-validity.online
- accurate-sprout-porpoise.glitch.me
- activity-permission.online
- admin-stable-right.top
- admiscion.online
- admit-roar-frame.top
- advission.online
- affect-fist-ton.online
- aspenlnstitute.org
- avid-striking-eagerness.online
- azadlliq.info
- beaviews.online
- besvision.top
- bitly.org.il
- bloom-flatter-affably.top
- book-download.shop
- bq-ledmagic.online
- briview.online
- businesslnsider.org
- chat-services.online
- check-online-panel.live
- check-pabnel-status.live
- check-panel-status.live
- check-short-panel.live
- confirmation-process.top
- connection-view.online
- continue-meeting.site
- continue-recognized.online
- coordinate.icu
- cvisiion.online
- d75.site
- daemon-mailer.co
- daemon-mailer.info
- dloffice.buzz
- dloffice.top
- drive-access.site
- drive-file-share.site
- ecomonist.org
- email-daemon.biz
- email-daemon.biz.tinurls.com
- email-daemon.online
- email-daemon.online.tinurls.com
- email-daemon.site
- endorsement-services.online
- eocnomist.com
- foreiqnaffairs.com
- foreiqnaffairs.org
- forieqnaffairs.com
- fortune-retire-home.top
- geaviews.site
- glory-uplift-vouch.online
- go-conversation.lol
- go-forward.quest
- g-online.org
- gview.site
- home-continue.online
- home-proceed.online
- identifier-direction.site
- indication-service.online
- israelhayum.com
- join-paneling.online
- jpost.press
- jpostpress.com
- khaleejtimes.org
- khalejtimes.org
- ksview.top
- last-check-leave.buzz
- litby.us
- live-project-online.live
- live-projects-online.top
- loriginal.online
- m85.online
- maariv.net
- mailer-daemon.info
- mailerdaemon.online
- mailer-daemon.us
- mail-roundcube.site
- mccainlnstitute.org
- meeting-online.site
- mterview.site
- myaccount-signin.com
- nterview.site
- online-access.live
- online-processing.online
- online-video-services.site
- ovcloud.online
- panelchecking.live
- panel-check-short.live
- paneling-viewing.live
- panel-live-check.online
- panel-short-check.live
- panels-views-ckeck.live
- panel-view.live
- panel-view.online
- panel-views-cheking.live
- panel-view-short.online
- pannel-get-data.us
- prism-west-candy.glitch.me
- quomodocunquize.site
- recognize-validation.online
- reconsider.site
- revive-project-live.online
- s20.site
- s51.online
- s59.site
- shortenurl.online
- shorting-ce.live
- shortingurling.live
- shortlinkview.live
- shortulonline.live
- short-url.live
- short-view.online
- shoting-urls.live
- signin-acconut.com
- signin-accounts.com
- signin-mail.com
- signin-mails.com
- signin-myaccounts.com
- simple-process-static.top
- status-short.live
- stellar-roar-right.buzz
- support-account.xyz
- sweet-pinnacle-readily.online
- tcvision.online
- themedealine.org
- timesfisrael.com
- title-flow-store.online
- tnt200.mywire.org
- twision.top
- ushrt.us
- vanityfaire.org
- verify-person-entry.top
- view-cope-flow.online
- view-panel.live
- view-pool-cope.online
- viewstand.online
- viewtop.online
- view-total-step.online
- virtue-regular-ready.online
- washingtonlnstitute.org
- washinqtonpost.press
- we-transfer.shop
- ynetnews.press
- youronlineregister.com
- youtransfer.live
MD5
- 081419a484bbf99f278ce636d445b9d8
- 13aa118181ac6a202f0a64c0c7a61ce7
- 2f6bf8586ed0a87ef3d156124de32757
- 347b273df245f5e1fcbef32f5b836f1d
- 853687659483d215309941dae391a68f
- 9c5337e0b1aef2657948fd5e82bdb4c3
- c23663ebdfbc340457201dbec7469386
- c3b9191f3a3c139ae886c0840709865e
- d5a05212f5931d50bb024567a2873642
- d7bf138d1aa2b70d6204a2f3c3bc72a7
- dd2653a2543fa44eaeeff3ca82fe3513
SHA1
- 0a3edf66a8112980b16ee42299e5e9bf6036af33
- 0ef4f7a8d7b1d34e10faa0bca1dcb76a518dd417
- 25005352eff725afc93214cac14f0aa8e58ca409
- 3fd06c930ddc4b1914151f69454c087a42413a24
- 56eada705da914818cd44c6492910bc92fb70e86
- 607432075e48fa8af271dd8024f7715f3d3ab0a1
- 70065b263f14c48eeb86e2436ba064c531670e71
- 97e48fbb46f52d5a35360f9bfd8a2877a4a7fe70
- 986b68167fb0fc3ffb3985451d431c861afaeba4
- c64ded7ed99559c146ee7acc6e6c0a5c7d67d6d9
SHA256
- 07384ab4488ea795affc923851e00ebc2ead3f01b57be6bf8358d7659e9ee407
- 0e51029ba28243b0a6a071713c17357a8eb024aa4298d1ccc9e2c4ac8916df4d
- 156ac9685acb6696d8d7f64205e20ecf7a87dad304b8441449f0060ed175938b
- 3226b3e7d7fdaebfe7d7f06bdaf0cad08ea9792cd32843d01e6023f67cd0c889
- 3c74109005111688341f4e5fcba42be9c21baa4465f5f84a5a342708732ac0ff
- 5404e39f2f175a0fc993513ee52be3679a64c69c79e32caa656fbb7645965422
- bd1f0fb085c486e97d82b6e8acb3977497c59c3ac79f973f96c395e7f0ca97f8
- c99cc10f15f655f36314e54f7013a0bc5df85f4d6ff7f35b14a446315835d334
- dbdb14e37fc4412711a1e5e37e609e33410de31de13911aee99ab473753baa4a
- e0ba0cedd8a8624c75af29965e5fa7ab754fc0fcddbb330bb548dab4f2be333f