GhostWriter APT IOCs - Part 6

security IOC

В рамках кампании Ghostwriter были обнаружены вредоносные макродокументы XLS, связанные с известной белорусской APT-группой.

GhostWriter APT

По результатам анализа было выявлено, что противник использовал несколько доменов, включая ".shop". Аналитики также обратили внимание на наложение регистрации доменов и хостинга, что указывает на использование одних и тех же ресурсов злоумышленником.

Для выявления дополнительных доменов, связанных с противником, можно использовать схему регистрации доменов, зарегистрированных на серверах имен Cloudflare и с расширением ".shop". Было обнаружено до 24 таких доменов, предположительно созданных группой Ghostwriter.

Indicators of Compromise

Domains

  • backstagemerch.shop
  • bryndonovan.shop
  • chaptercheats.shop
  • clairedeco.shop
  • connecticutchildrens.shop
  • disneyfoodblog.shop
  • eartheclipse.shop
  • empoweringparents.shop
  • foampartyhats.shop
  • goudieelectric.shop
  • ikitas.shop
  • jackbenimblekids.shop
  • kingarthurbaking.shop
  • lansdownecentre.shop
  • lauramcinerney.shop
  • medicalnewstoday.shop
  • moonlightmixes.shop
  • penandthepad.shop
  • physio-pedia.shop
  • semanticscholar.shop
  • simonandschuster.shop
  • thevegan8.shop
  • twisterplussize.shop
  • utahsadventurefamily.shop
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий