Главная страница » IOC
0
7 месяцев
IOC

COLDRIVER APT IOCs - V

security

Исследователи Citizen Lab в сотрудничестве с Access Now и другими организациями гражданского общества раскрыли сложную фишинговую кампанию.

COLDRIVER APT

Эта кампания, получившая название «River of Phish», была приписана Microsoft Threat Intelligence, а также другими организациями безопасности, к COLDRIVER.

COLDRIVER (Star Blizzard), - злоумышленник, происходящий из России, чьи цели и виктимология тесно связаны с российскими государственными интересами.

Его деятельность направлена на получение доступа к онлайн-аккаунтам с помощью высокоперсонализированной социальной инженерии. Целями атак являются российские оппозиционеры, сотрудники неправительственных организаций (НПО), финансисты и представители СМИ, в основном в России, Украине и Беларуси.

Злоумышленники выдают себя за известных знакомых цели и просят ее просмотреть документ, который, как утверждают злоумышленники, зашифрован с помощью онлайн-сервиса, например ProtonDrive. Вместо этого в PDF-файле отображается вредоносная ссылка, при нажатии на которую запускается JavaScript-код, перенаправляющий жертву на страницу входа в систему, оформленную как почтовый сервис жертвы, и обманом заставляющий жертву предоставить свои учетные данные.

CitizenLab и Access Now также выявили аналогичную кампанию копьеметания, в которой используются вложения в формате PDF, чтобы обманом заставить жертву перейти по вредоносной ссылке. Однако различия в тактике, технике и процедурах (TTPs) привели Citizen Lab и Access Now к выводу, что эта деятельность связана с отдельным агентом, отслеживаемым как COLDWASTREL.

Indicators of Compromise

Domains

  • egenre.net
  • eilatocare.com
  • esestacey.net
  • ideaspire.net
  • ithostprotocol.com
  • matalangit.org
  • protondrive.me
  • protondrive.online
  • protondrive.services
  • service-proton.me
  • togochecklist.com
  • vocabpaper.com
  • xsltweemat.org

SHA256

  • 00664f72386b256d74176aacbe6d1d6f6dd515dd4b2fcb955f5e0f6f92fa078e
  • 0ded441749c5391234a59d712c9d8375955ebd3d4d5848837b8211c6b27a4e88
  • 384d3027d92c13da55ceef9a375e8887d908fd54013f49167946e1791730ba22
  • 4a9a2c2926b7b8e388984d38cb9e259fb4060cccc2d291c7910be030ae5301a3
  • 603221a64f2843674ad968970365f182c228b7219b32ab3777c265804ef67b0a
  • 79f93e57ad6be28aae62d14135140289f09f86d3a093551bd234adc0021bb827
  • b07d54a178726ffb9f2d5a38e64116cbdc361a1a0248fb89300275986dc5b69d
  • c1fa7cd73a14946fc760a54ebd0c853fab24a080cbf6b8460a949f28801e16fc
  • df9d77f3e608c92ef899e5acd1d65d87ce2fdb9aab63bbf58e63e6fd6c768ac3
  • efa2fd8f8808164d6986aedd6c8b45bb83edd70ca4e80d7ff563a3fbc05eab89
Комментарии: 0
Похожие записи
0
15 часов
IOC

APT37 - RokRat

security
APT37, также известная как ScarCruft, Reaper и Red Eyes - северокорейская хакерская группировка, спонсируемая государством и действующая с 2012 года. Изначально ее деятельность была сосредоточена на правительственном
0
15 часов
IOC

Squid Werewolf APT IOCs

security
В ходе недавней кибератаки злоумышленники использовали фишинговую электронную почту, чтобы атаковать ключевых сотрудников одной из промышленных организаций. Обнаруженная в декабре 2024 года экспертами BI.
0
2 дня
IOC

Blind Eagle APT IOCs

security
Группа APT-C-36, известная также как Blind Eagle, продолжает активно атаковать колумбийские учреждения и правительственные структуры, используя уязвимость CVE-2024-43451, которая была исправлена Microsoft 12 ноября 2024 года.
0
2 дня
IOC

SideWinder нацелилась на морской и ядерный секторы

security
APT-группа SideWinder продолжает активно расширять свою деятельность в морском и ядерном секторах, используя обновленный набор инструментов. В прошлом году исследователи обнаружили, что группа заражает