UNC2589 IOCs

security IOC
Опубликовано

UNC2589 - это кластер кибершпионской деятельности, который компания Mandiant отслеживает с начала 2021 года и, возможно, начала действовать еще в конце 2020 года. Хотя UNC2589 в основном нацелена на организации в Украине и Восточной Европе, она также активно атакует правительственные и оборонные организации по всей Европе и Северной Америке.

UNC2589 использует фишинговые кампании, которые могут быть замаскированы под пересылку электронных писем как с контролируемых агентом, так и со взломанных легитимных аккаунтов. Темы приманки, используемые UNC2589, включают COVID-19, войну в Украине, темы, связанные с правительством, региональные темы или даже общие темы, такие как биткойн. Полезная нагрузка для фишинговых операций включает вредоносные макросы, загрузчики CPL, ZIP-файлы или другие архивы.

Indicators of Compromise

IPv4 Port Combinations

  • 111.90.151.182:4899
  • 111.90.151.182:5555
  • 111.90.151.182:5651
  • 111.90.151.182:8080
  • 194.31.98.124:443

URls

  • http://45.84.0.116:443/m
  • http://45.84.0.116:443/p
  • https://forkscenter.fr/Sdghrt_umrj6/wisw.exe
  • https://nirsoft.me/nEDFzTtoCbUfp9BtSZlaq6ql8v6yYb/avp/amznussraps/
  • https://nirsoft.me/s/2MYmbwpSJLZRAtXRgNTAUjJSH6SSoicLPIrQl/field-keywords/

MD5

  • 047fbbb380cbf9cd263c482b70ddb26f
  • 06124da5b4d6ef31dbfd7a6094fc52a6
  • 144ccb808e2d2e1f0119ea2a8f7490bc
  • 15c525b74b7251cfa1f7c471975f3f95
  • 2556a9e1d5e9874171f51620e5c5e09a
  • 2a843511cdb8f5604cb3fafe244ef5f2
  • 2b0338c9f3f46955cfd2dc97c02bd554
  • 2bb5d5aa07fa2c8e9874c117c8fa51d6
  • 2f14b3d5ab01568e2707925783f8eafe
  • 2fdf9f3a25e039a41e743e19550d4040
  • 36ff9ec87c458d6d76b2afbd5120dfae
  • 3cd599654aff2e432ae3390d33c64f5e
  • 4a5de4784a6005aa8a19fb0889f1947a
  • 4f11abdb96be36e3806bada5b8b2b8f8
  • 6b413beb61e46241481f556bb5cdb69c
  • 97e16c0b770dbbe4fa94cebac92082b7
  • 9ad4a2dfd4cb49ef55f2acd320659b83
  • 9ea3aaaeb15a074cd617ee1dfdda2c26
  • a0c4ddf9c6f95d7046be8a2e0f875935
  • a236cb7f2b0e34619039788de7f7760b
  • b8b7a10dcc0dad157191620b5d4e5312
  • c8bf238641621212901517570e96fae7
  • ca9290709843584aecbd6564fb978bd6
  • cd8834da2cfb0285fa75decf6c67d049
  • cf204319f7397a6a31ecf76c9531a549
  • da305627acf63792acb02afaf83d94d1
  • e34d6387d3ab063b0d926ac1fca8c4c4
  • e56555162c559a55021b879147b0791f
  • ea47d88d73fecb1fad1e737f1b373d7f

 

 

 

Похожие записи:

  1. Крупномасштабная фишинговая кампания обходит MFA
  2. IPFS Phishing IOCs
  3. Robin Banks
  4. UNC3890 IOCs
  5. 0ktapus IOCs
Graphsteel Grimplant Mandiant Phishing UNC1151 UNC2589
Добавить комментарий