UNC3890 IOCs

security IOC

В течение последнего года компания Mandiant отслеживала UNC3890 - кластер активности, направленный на израильские судоходные, правительственные, энергетические и медицинские организации с помощью приманок социальной инженерии.

UNC3890 APT

Mandiant с умеренной уверенностью считает, что этот агент связан с Ираном, что примечательно, учитывая сильный акцент на судоходстве и продолжающийся морской конфликт между Ираном и Израилем. Хотя мы считаем, что этот субъект сосредоточен на сборе разведданных, собранные данные могут быть использованы для поддержки различных видов деятельности, от взлома и утечки до обеспечения атак кинетической войны, подобных тем, которые в последние годы поразили судоходную отрасль.

Mandiant с умеренной уверенностью считает, что UNC3890 занимается шпионажем и сбором разведданных для поддержки многочисленных иранских интересов и операций. Целевые схемы указывают на сильный интерес к израильским предприятиям и организациям различных секторов, включая правительство, судоходство, энергетику и здравоохранение. Мы обнаружили несколько ограниченных технических связей с Ираном, таких как PDB-строки и артефакты на языке фарси.

Эта кампания активна по крайней мере с конца 2020 года и продолжается по состоянию на середину 2022 года, и хотя она носит региональный характер, ее объектами являются глобальные компании.

UNC3890 использует как минимум два уникальных инструмента: бэкдор - SUGARUSH, и кражу учетных данных из браузера, которая выводит украденные данные через почтовые службы Gmail, Yahoo и Yandex - SUGARDUMP. UNC3890 также использует несколько общедоступных инструментов, таких как фреймворк METASPLOIT и NorthStar C2.

Кроме того, Mandiant обнаружила, что UNC3890 управляет взаимосвязанной сетью командно-контрольных (C2) серверов. На серверах C2 размещены домены и фальшивые страницы входа, подделывающие законные сервисы, такие как Office 365, социальные сети, такие как LinkedIn и Facebook, а также фальшивые предложения о работе и фальшивая реклама роботов-кукол на базе искусственного интеллекта. Mandiant  наблюдали, как серверы C2 общались с несколькими целями, а также с "водопоем", который был нацелен на израильский сектор морских перевозок, в частности на организации, занимающиеся обработкой и отправкой чувствительных компонентов.

Атрибуция

Mandiant использует обозначение "UNC" - или "некатегоризированные" группы - для обозначения кластера активности вторжения, включающего наблюдаемые артефакты, такие как инфраструктура противника, инструменты и технические средства, которые еще не готовы классифицировать как TEMP, APT или FIN. Mandiant не обнаружила значительных связей между UNC3890 и другими кластерами деятельности, которые мы отслеживаем в настоящее время, и поэтому рассматривает его как отдельную группу. Тем не менее, мы выявили несколько связей, указывающих на то, что эта деятельность осуществляется группой, связанной с Ираном:

  • Использование слов на фарси, что наблюдается в строках, оставленных разработчиками в новейшей версии SUGARDUMP, например, "KHODA" (слово на фарси, означающее "Бог") и "yaal" (слово на фарси, означающее гриву лошади).
  • Целенаправленное нападение на израильские субъекты и организации или организации, действующие в Израиле, в соответствии с другими группами активности иранских субъектов угрозы, в частности UNC757.
  • Использование того же пути PDB, что и в другом иранском кластере активности, который Mandiant отслеживает как UNC2448 (управляемый иранским КСИР, согласно открытым источникам), публично упомянутый в заявлении правительства США от 17 ноября 2021 года. В ряде публикаций высказывалось предположение, что UNC2448 связан с кластером деятельности APT35/Charming Kitten, который, согласно нескольким открытым источникам, управляется иранским Корпусом стражей исламской революции (КСИР). UNC2448 атакует израильские организации, а также другие страны, представляющие интерес для Ирана.
  • Использование NorthStar C2 Framework - системы C2, которую предпочитают другие иранские субъекты. Однако, поскольку эта система находится в открытом доступе и используется многими субъектами.

Мишень

В конце 2021 года компания Mandiant обнаружила, что UNC3890 нацелен на израильские организации и проявляет интерес к различным секторам, включая правительство, судоходство, энергетику, авиацию и здравоохранение. Несмотря на то, что наблюдаемые целевые действия направлены на Израиль, некоторые из организаций, на которые нацелился UNC3890, особенно в секторе морских перевозок, являются глобальными компаниями. Таким образом, потенциальное воздействие деятельности UNC3890, описанное в этом блоге, может выйти за пределы Израиля. Эта деятельность соответствует историческому интересу Ирана к этим целям. Модели таргетинга и приманки, используемые UNC3890, указывают на попытку замаскировать их деятельность под законные действия по входу в систему, законные услуги и приложения социальных сетей, а также связанный с технологиями визуальный контент.

Indicators of Compromise

IPv4

  • 104.237.155.129
  • 128.199.6.246
  • 143.110.155.195
  • 144.202.123.248
  • 146.185.219.88
  • 159.223.164.185
  • 161.35.123.176
  • 185.170.215.170

Domains

  • aspiremovecentraldays.net
  • celebritylife.news
  • fileupload.shop
  • lirıkedin.com
  • naturaldolls.store
  • office365update.live
  • pfizerpoll.com
  • rnfacebook.com
  • xn--lirkedin-vkb.com
  • xxx-doll.com

MD5

  • 084ad50044d6650f9ed314e99351a608
  • 08dc5c2af21ecee6f2b25ebdd02a9079
  • 2a09c5d85667334d9accbd0e06ae9418
  • 2fe42c52826787e24ea81c17303484f9
  • 37bdb9ea33b2fe621587c887f6fb2989
  • 3b2a719ffb12a291acbfe9056daf52a7
  • 3f045ebb014d859a4e7d15a4cf827957
  • 532f5c8a85b706ccc317b9d4158014bf
  • 639f83fa4265ddbb43e85b763fe3dbac
  • 6dbd612bbc7986cf8beb9984b473330a
  • 9c8788e7ae87ae4f46bfe5ba7b7aa938
  • a7a2d6a533b913bc50d14e91bcf6c716
  • ae0a16b6feddd53d1d52ff50d85a42d5
  • c5116a9818dcd48b8e9fb1ddf022df29
  • d47bbec805c00a549ab364d20a884519
  • d528e96271e791fab5818c01d4bc139f
  • d5671df2af6478ac108e92ba596d5557
  • d8fb3b6f5681cf5eec2b89be9b632b05
  • e125ed072fc4529687d98cf4c62e283e
  • f362a2d9194a09eaca7d2fa04d89e1e5
  • f538cb2e584116a586a50d607d517cfd
  • f97c0f19e84c79e9423b4420531f5a25
  • fcc09a4262b9ca899ba08150e287caa9
SEC-1275-1
Добавить комментарий