Ember Bear APT IOCs

security IOC

Агентство по кибербезопасности и защите инфраструктуры США (CISA) опубликовало рекомендацию о группе Ember Bear, также известной как Cadet Blizzard, Bleeding Bear и Frozenvista.

Ember Bear APT

Ember Bear проводит кибероперации по меньшей мере с 2020 года, атакуя такие сектора, как государственные службы, финансовые услуги, транспорт, энергетика и здравоохранение в странах-членах НАТО, ЕС, а также в странах Латинской Америки и Центральной Азии. С января 2022 года подразделение развернуло против украинских организаций вредоносную программу WhisperGate, которая представляет собой двухэтапную атаку, повреждающую главную загрузочную запись и шифрующую файлы, распространяемую через учетные записи Discord.

Деятельность Ember Bear включает в себя шпионаж, саботаж, нанесение репутационного ущерба путем утечки данных и саботаж путем уничтожения данных. Для разведки и эксплуатации уязвимостей они использовали такие общедоступные инструменты, как Acunetix, Amass, Nmap и Shodan. Для первоначального доступа они использовали целый ряд уязвимостей, включая CVE-2020-1472, CVE-2021-26084, CVE-2021-3156, CVE-2021-4034, CVE-2022-27666 и другие.

Для бокового перемещения они использовали такие техники, как эксплуатация стандартных учетных данных в IoT-устройствах, Pass-the-Hash и инструменты типа Impacket. Их командно-контрольная инфраструктура использует VPS, инструменты туннелирования DNS и ProxyChains для поддержания анонимности и маршрутизации трафика через прокси-серверы. Также были замечены случаи использования инфраструктуры Microsoft OWA жертв для подбора паролей, эксплуатации уязвимых IP-камер и утечки данных в облачные хранилища с помощью таких инструментов, как Rclone.

Indicators of Compromise

MD5

  • 032f5642d4fb2fdd74e6f20a13c57746
  • 08dfebc04eb61c9a6d87b6524c1c0f2e
  • 0adc2530cf348c0a3d53a680291a3d67
  • 0dc5ac12f7690db15c99eaabc11b129c
  • 0e03103e8110785156105946e48ea9e0
  • 1220b580cef1bf22351e271773945d20
  • 1934e2ebc64d41e37ef53ea0c075e974
  • 19cb20c4e7dbfe15c1aa284752d0fecb
  • 1cac5c0cb8801e8730447023270d8d56
  • 1e22d64f263e8ea4b2d37dcd9b7c3012
  • 246f31c86bbbe7f65c0126cf4a1a947a
  • 28d571ddb5c04d065dfe1be9604663ba
  • 2b2509c6ee46d6327f2f1c9a75122d15
  • 2b5f159f022109a8de1bc5dd9e3138a0
  • 2ca6bcf16ee4293a771a1cf7b7b9ee49
  • 2e035360971a817b854d7d5a2b008717
  • 332b7f6662e28e3577bd1b269904b940
  • 3fe96ff4a5ef0f5346ce645a2a893597
  • 4074798a621232dc448b65db7b1fdd66
  • 47f4534da421daf8089cf34d53f6bb6e
  • 4bce4831b1dd71f19c55b3e3b5e99856
  • 4d8343c40be53d6521244fe74393d937
  • 4e9c55c6fe25d61ca4394de794546fab
  • 552d9b79cc544fc6c3e8aa204dd00811
  • 5b884f15dc9b072d7bbad9ec2b249f38
  • 5c3b0040e2dece6e17093ae607b79044
  • 5d063eecd894d3d523875bc82ef6f319
  • 5eaa7e812733a5c8cda734fab2f752d5
  • 5f4df6dd8e644d59eaf182e500b5e7bf
  • 601c12596dfea84c2113ae5ee59a52ec
  • 673586594242d99ab02118595e457297
  • 683546b9171a1ea284a96d1b45d1d823
  • 6859fe5a3eead00a563cd93efcc6ea96
  • 755dac7edd17fbf5b5c449dd06c02e14
  • 77675a24040f10c85112d9a219d5f1c7
  • 7a70d5fbbafe3454b76e3ad2f009618f
  • 7e0c42d33921a89724424f17c97037bd
  • 7f84263fd24f783ff72d5ae91011b558
  • 8633bd2bbbb5da22c3f8751150186c42
  • 8744cec7547b1e73705c10a264e28e08
  • 8cfef66b390f08bdbfd940922cf51650
  • 8d3d4d702ba6b4be2766a41bfe5ff76e
  • 911c7e82f32f78577dcd725a7adb114d
  • 9152c9de57b5647ee4ab3dff551dc8dd
  • 94bf96b76c2a092de8962496ce35deaf
  • 955e4c198ee58e40fe92cb74ceefdf00
  • 95cf2a5a24b0d33d621bb8995d5826bc
  • 96964aed18f65a7acae632f358a093f6
  • 974e7c0b3660fbf18f29eac059f85ac0
  • 981160dee6cd25fb181e54eca7ff7c22
  • 9b2924c727aa3a061906321a66c9050c
  • 9f11e915be5c0d02a3130329cf032a28
  • a66b3b22a3619f739b197d0d443b700c
  • a905d620717f75751aa94ceb88995dbc
  • ad0ca738aa6c987e4ee1a87ff2b8acd5
  • af277ae0fbf6cc20f887696ea4756d46
  • af85885a74cfe099676af542dcdc5741
  • c9d1677f4f89b95b41591b23a1dc1a63
  • cc4a9db6f250114e26d8d9ba6ab46bc9
  • cee5acbfef7e76f52f40b8ae95199c50
  • d0b00a6c83ce810ec2763af17e8ab1c4
  • d43446b4a22a597b93b559821ee5ac9b
  • d6b41747cb035c4c2b08790cd57f0626
  • d973210977957209f255b58eb1715b12
  • de1bf141976776becd376a0dac400df6
  • de276cf07ccffa18d7ffc35281bca910
  • dea3ae8225913dd98148fc86cfc3bcbe
  • df4f856f783d23fb01af1e0e64bc0e20
  • e21fe98cc8866c0eeecf3549ebcec751
  • e2cc52273d56ed66c800a726760c1ed0
  • e4634ef9bfe7b598b857ad997445b239
  • e61518ae9454a563b8f842286bbdb87b
  • eef2363744345741e09fe5380eeb4df3
  • f4f4e55a00d2f3a433c9e5624285ac1c
  • f73d203bdf924658fd6edf3444c93a50
  • f8ffd1eab6223e31b15d0fd6c3c0472e
  • fba76f4eb2e7a2eb17193bebe290a198
  • fc418fdda06ce5982153766dcefb71d9
  • ffa68749aa3fc6495e2c49b01d964339
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий