Агентство по кибербезопасности и защите инфраструктуры США (CISA) опубликовало рекомендацию о группе Ember Bear, также известной как Cadet Blizzard, Bleeding Bear и Frozenvista.
Ember Bear APT
Ember Bear проводит кибероперации по меньшей мере с 2020 года, атакуя такие сектора, как государственные службы, финансовые услуги, транспорт, энергетика и здравоохранение в странах-членах НАТО, ЕС, а также в странах Латинской Америки и Центральной Азии. С января 2022 года подразделение развернуло против украинских организаций вредоносную программу WhisperGate, которая представляет собой двухэтапную атаку, повреждающую главную загрузочную запись и шифрующую файлы, распространяемую через учетные записи Discord.
Деятельность Ember Bear включает в себя шпионаж, саботаж, нанесение репутационного ущерба путем утечки данных и саботаж путем уничтожения данных. Для разведки и эксплуатации уязвимостей они использовали такие общедоступные инструменты, как Acunetix, Amass, Nmap и Shodan. Для первоначального доступа они использовали целый ряд уязвимостей, включая CVE-2020-1472, CVE-2021-26084, CVE-2021-3156, CVE-2021-4034, CVE-2022-27666 и другие.
Для бокового перемещения они использовали такие техники, как эксплуатация стандартных учетных данных в IoT-устройствах, Pass-the-Hash и инструменты типа Impacket. Их командно-контрольная инфраструктура использует VPS, инструменты туннелирования DNS и ProxyChains для поддержания анонимности и маршрутизации трафика через прокси-серверы. Также были замечены случаи использования инфраструктуры Microsoft OWA жертв для подбора паролей, эксплуатации уязвимых IP-камер и утечки данных в облачные хранилища с помощью таких инструментов, как Rclone.
Indicators of Compromise
MD5
- 032f5642d4fb2fdd74e6f20a13c57746
- 08dfebc04eb61c9a6d87b6524c1c0f2e
- 0adc2530cf348c0a3d53a680291a3d67
- 0dc5ac12f7690db15c99eaabc11b129c
- 0e03103e8110785156105946e48ea9e0
- 1220b580cef1bf22351e271773945d20
- 1934e2ebc64d41e37ef53ea0c075e974
- 19cb20c4e7dbfe15c1aa284752d0fecb
- 1cac5c0cb8801e8730447023270d8d56
- 1e22d64f263e8ea4b2d37dcd9b7c3012
- 246f31c86bbbe7f65c0126cf4a1a947a
- 28d571ddb5c04d065dfe1be9604663ba
- 2b2509c6ee46d6327f2f1c9a75122d15
- 2b5f159f022109a8de1bc5dd9e3138a0
- 2ca6bcf16ee4293a771a1cf7b7b9ee49
- 2e035360971a817b854d7d5a2b008717
- 332b7f6662e28e3577bd1b269904b940
- 3fe96ff4a5ef0f5346ce645a2a893597
- 4074798a621232dc448b65db7b1fdd66
- 47f4534da421daf8089cf34d53f6bb6e
- 4bce4831b1dd71f19c55b3e3b5e99856
- 4d8343c40be53d6521244fe74393d937
- 4e9c55c6fe25d61ca4394de794546fab
- 552d9b79cc544fc6c3e8aa204dd00811
- 5b884f15dc9b072d7bbad9ec2b249f38
- 5c3b0040e2dece6e17093ae607b79044
- 5d063eecd894d3d523875bc82ef6f319
- 5eaa7e812733a5c8cda734fab2f752d5
- 5f4df6dd8e644d59eaf182e500b5e7bf
- 601c12596dfea84c2113ae5ee59a52ec
- 673586594242d99ab02118595e457297
- 683546b9171a1ea284a96d1b45d1d823
- 6859fe5a3eead00a563cd93efcc6ea96
- 755dac7edd17fbf5b5c449dd06c02e14
- 77675a24040f10c85112d9a219d5f1c7
- 7a70d5fbbafe3454b76e3ad2f009618f
- 7e0c42d33921a89724424f17c97037bd
- 7f84263fd24f783ff72d5ae91011b558
- 8633bd2bbbb5da22c3f8751150186c42
- 8744cec7547b1e73705c10a264e28e08
- 8cfef66b390f08bdbfd940922cf51650
- 8d3d4d702ba6b4be2766a41bfe5ff76e
- 911c7e82f32f78577dcd725a7adb114d
- 9152c9de57b5647ee4ab3dff551dc8dd
- 94bf96b76c2a092de8962496ce35deaf
- 955e4c198ee58e40fe92cb74ceefdf00
- 95cf2a5a24b0d33d621bb8995d5826bc
- 96964aed18f65a7acae632f358a093f6
- 974e7c0b3660fbf18f29eac059f85ac0
- 981160dee6cd25fb181e54eca7ff7c22
- 9b2924c727aa3a061906321a66c9050c
- 9f11e915be5c0d02a3130329cf032a28
- a66b3b22a3619f739b197d0d443b700c
- a905d620717f75751aa94ceb88995dbc
- ad0ca738aa6c987e4ee1a87ff2b8acd5
- af277ae0fbf6cc20f887696ea4756d46
- af85885a74cfe099676af542dcdc5741
- c9d1677f4f89b95b41591b23a1dc1a63
- cc4a9db6f250114e26d8d9ba6ab46bc9
- cee5acbfef7e76f52f40b8ae95199c50
- d0b00a6c83ce810ec2763af17e8ab1c4
- d43446b4a22a597b93b559821ee5ac9b
- d6b41747cb035c4c2b08790cd57f0626
- d973210977957209f255b58eb1715b12
- de1bf141976776becd376a0dac400df6
- de276cf07ccffa18d7ffc35281bca910
- dea3ae8225913dd98148fc86cfc3bcbe
- df4f856f783d23fb01af1e0e64bc0e20
- e21fe98cc8866c0eeecf3549ebcec751
- e2cc52273d56ed66c800a726760c1ed0
- e4634ef9bfe7b598b857ad997445b239
- e61518ae9454a563b8f842286bbdb87b
- eef2363744345741e09fe5380eeb4df3
- f4f4e55a00d2f3a433c9e5624285ac1c
- f73d203bdf924658fd6edf3444c93a50
- f8ffd1eab6223e31b15d0fd6c3c0472e
- fba76f4eb2e7a2eb17193bebe290a198
- fc418fdda06ce5982153766dcefb71d9
- ffa68749aa3fc6495e2c49b01d964339