Secret Blizzard использовал инструменты и инфраструктуру других злоумышленников в течение последних семи лет. Целью их атаки была эксфильтрация данных и сбор разведданных для собственной программы шпионажа. Они активно атаковали инфраструктуру, где другие злоумышленники эксфильтрировали данные, с целью получить доступ к этим данным. В их деятельности Secret Blizzard использовал инфраструктуру и инструменты других государственных и киберпреступных субъектов.
Secret Blizzard APT
- Secret Blizzard использовал инфраструктуру Storm-0156, расположенной в Пакистане. Они использовали эту инфраструктуру для установки бэкдоров и сбора разведданных в Южной Азии.
- Secret Blizzard использовал ботов Amadey и бэкдор PowerShell для развертывания бэкдора Tavdig и установки своего бэкдора KazuarV2 в Украине.
- Исследователи Microsoft Threat Intelligence и Black Lotus Labs подтвердили, что командно-контрольный трафик Secret Blizzard исходил из инфраструктуры Storm-0156.
Indicators of Compromise
IPv4
- 109.123.244.46
- 130.185.119.198
- 143.198.73.108
- 144.91.72.17
- 146.70.158.90
- 154.53.42.194
- 161.35.192.207
- 162.213.195.129
- 164.68.108.153
- 167.86.118.69
- 173.212.252.2
- 176.57.184.97
- 209.126.11.251
- 37.60.236.186
- 38.242.207.36
- 45.14.194.253
- 46.249.58.201
- 5.189.183.63
- 91.234.33.48
- 94.177.198.94
- 95.111.229.253
Domains
- connectotels.net
- hostelhotels.net
SHA256
- 08803510089c8832df3f6db57aded7bfd2d91745e7dd44985d4c9cb9bd5fd1d2
- 59d7ec6ec97c6b958e00a3352d38dd13876fecdb2bb13a8541ab93248edde317
- 7c4ef30bd1b5cb690d2603e33264768e3b42752660c79979a5db80816dfb2ad2
- 7c7fad6b9ecb1e770693a6c62e0cc4183f602b892823f4a451799376be915912
- aba8b59281faa8c1c43a4ca7af075edd3e3516d3cef058a1f43b093177b8f83c
- C039ec6622393f9324cacbf8cfaba3b7a41fe6929812ce3bd5d79b0fdedc884a
- dbbf8108fd14478ae05d3a3a6aabc242bff6af6eb1e93cbead4f5a23c3587ced
- e298b83891b192b8a2782e638e7f5601acf13bab2f619215ac68a0b61230a273
- e2d033b324450e1cb7575fedfc784e66488e342631f059988a9a2fd6e006d381