Charming Kitten APT IOCs - Part 7

security IOC

APT35, также известная как Magic Hound, Cobalt Illusion, Charming Kitten, - группа угроз, финансируемая Ираном и предположительно связанная с Корпусом стражей исламской революции (КСИР) Ирана, действующая в основном на Ближнем Востоке с историей, начавшейся в 2014 году. Деятельность группы направлена в основном на энергетический, правительственный и технологический секторы, а цели атак находятся на Ближнем Востоке, в США и других регионах.

Charming Kitten APT

В последнее время команда ThreatBook Research and Response Team обнаружила, что группировка APT35 использует поддельные сайты для проведения атак. Группа размещает белые и черные компоненты на поддельных рекрутинговых и корпоративных сайтах, привлекая цели для загрузки и выполнения вредоносных процессов. Также при атаках использовались легитимные интернет-ресурсы, такие как OneDrive, Google Cloud и GitHub.

После проведения глубокого анализа инцидента, команда ThreatBook выявила несколько связанных индикаторов компрометации (IOC) для обнаружения угроз. Платформы обнаружения угроз, управления анализом угроз, облачные API, песочницы и другие инструменты ThreatBook поддерживают обнаружение и защиту от атак группы APT35.

Одним из конкретных случаев использования поддельных сайтов командой APT35 было создание рекрутингового сайта, нацеленного на аэрокосмическую промышленность. На этом сайте был предложен доступ к программе смешанного авторизованного доступа, в которой содержались белые и черные вредоносные образцы. Целью атаки, по всей видимости, был эксперт в области разработки беспилотников в Таиланде. Анализ показал, что данная атака связана с группой UNC1549, которая также была выявлена ранее в этом году.

Вредоносные образцы, размещенные на поддельном сайте, включали легитимную программу OneDrive и вредоносные программы первой и второй стадии. После загрузки вредоносной программы на целевую систему происходило ее копирование и переименование, создание значения реестра для автозапуска и тихая загрузка дополнительных вредоносных программ. При анализе обнаружены жестко закодированные данные, предположительно, идентифицирующие конкретного эксперта в области разработки беспилотников в Таиланде. Кроме того, злоумышленники сделали обучающее видео по работе с вредоносной программой.

Indicators of Compromise

Domains

  • cdn.careers2find.com
  • customer.orbotech.info
  • msdnhelp.com
  • visioffline.com
  • xboxapicenter.com

URLs

  • drive.google.com/uc?export=download&id=1prtuA0jGP3TvjJyR_o-10tF29Mpamrc2
  • onedrive.live.com/download?resid=31843351F20092B0!106&authkey=!AD30rbv8xs6i-sE
  • raw.githubusercontent.com/msdnedgesupport/msdn/main/README.md

SHA256

  • 88097e4780bfdc184b16c5a8a90793983676ad43749ffca49c9d70780e32c33a
  • 918e70e3f5fdafad28effd512b2f2d21c86cb3d3f14ec14f7ff9e7f0760fd760
  • bf308e5c91bcd04473126de716e3e668cac6cb1ac9c301132d61845a6d4cb362
  • c1f1ce81115bed45c594aeeb92adb687bb04478cb40bb9dab538277d0c8cc13e
  • cfdc7747b716be5817ce1bc76decfb3e1b27113545a01558ed97ab5fd024c53e
  • db034eb09fea48cc77d19804126f64c5336dd4e33b3884dc33d5336a434cb315
  • e5fbaab1270deb86b419abb348f19c2b9afd6e5c2e151c4d0869f6c5d889e029
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий