Главная страница » IOC
0
5 месяцев
IOC

Fancy Bear (APT28) APT IOCs - Part 11

security

CERT-UA расследует фишинговые письма, направленные на украинские местные органы власти, замаскированные темой «Замена таблицы» и содержащие вредоносную ссылку, имитирующую Google Sheets. Эта деятельность, использующая социальную инженерию и PowerShell для кражи учетных данных и развертывания Metasploit, вероятно, связана с российским агентом угроз APT28 (Forest Blizzard, Fancy Bear).

Fancy Bear (APT28) APT

При переходе по ссылке в письме пользователям открывается поддельный запрос reCAPTCHA. Следуя инструкциям, пользователь запускает команду PowerShell, которая загружает и запускает файлы, позволяющие туннелировать SSH, красть учетные данные из браузеров (Chrome, Edge, Opera, Firefox) и развертывать Metasploit на скомпрометированной машине.

CERT-UA отмечает связанный с этим инцидент в сентябре 2024 года, когда злоумышленники использовали уязвимость Roundcube (CVE-2023-43770) для перехвата данных электронной почты и перенаправления почтовых ящиков на адрес злоумышленника. В обеих атаках использовался взломанный сервер «mail.zhblz[.]com», и более 10 правительственных учетных записей электронной почты были взломаны и отслеживались злоумышленниками для распространения эксплойтов, которые достигли даже оборонных ведомств за рубежом.

Indicators of Compromise

IPv4

  • 103.50.33.50
  • 103.50.33.54
  • 109.236.63.165
  • 185.197.248.94
  • 194.35.121.200
  • 194.35.121.202
  • 194.35.121.50
  • 195.64.155.64
  • 198.54.117.242
  • 203.161.50.145
  • 37.19.218.144
  • 37.19.218.146
  • 37.19.218.156
  • 37.19.218.157
  • 37.19.218.160
  • 37.19.218.168
  • 37.19.218.174
  • 37.19.218.183
  • 45.155.43.118
  • 45.155.43.121
  • 45.61.169.221
  • 45.94.211.159
  • 45.94.211.161
  • 45.94.211.164
  • 80.77.25.206
  • 95.214.216.76
  • 95.214.216.78
  • 95.214.217.94

IPv4 Port Combinations

  • 203.161.50.145:22
  • 203.161.50.145:6211
  • 45.61.169.221:445

Domains

  • doc.gmail.com.gyehddhrggdii323sdhnshiswh2udhqjwdhhfjcjeuejcj.zhblz.com
  • docs.google.com.spreadsheets.d.1ip6eeakdebmwteh36vana4hu-glaeksstsht-boujdk.zhblz.com
  • mail.zhblz.com

Domain Port Combinations

  • mail.zhblz.com:8443

URLs

  • https://docs.google.com.spreadsheets.d.1ip6eeakdebmwteh36vana4hu-glaeksstsht-boujdk.zhblz.com/document
  • https://mail.zhblz.com
  • https://mail.zhblz.com/B
  • https://mail.zhblz.com/endpoint
  • https://mail.zhblz.com/id_rsa
  • https://mail.zhblz.com/libcrypto
  • https://mail.zhblz.com/ssh
  • https://mail.zhblz.com/upload
  • https://mail.zhblz.com/z

MD5

  • 446bab23379df08fecbab6fe9b00344e
  • 597bd15ff25636d9cde61157c2a3c8a2
  • 981943d2e7ec0ab3834c639f49cc4b42
  • d1ccc802272a380b32338d17b2ac40a1
  • d26920b81f4e6b014a0d63169e68dfa7
  • d73124dbb5d8e5702df065a122878740
  • e9cb6270f09e3324e6620b8c909a83c6
  • f389247be7524e2d4afc98f6811622fe

SHA256

  • 2446ab2e4dc85dc8b27141b2c1f777a01706f16d6608f4b5b0990f8b80dea9e0
  • 3ec9a66609f1bea8f30845e5dbcf927cf0b3e92e40ef40272fdf6d784ba0d0af
  • 4e1bc758f08593a873e5e1d6f7d4eac05f690841abc90ddfa713c2bec4f9970f
  • 5200a4e1bb5174a3203ce603c34625493a5a88f0dfb98ed5856b18655fb7ba60
  • 6bbf2b86e023f132416f40690b0386bd00e00cf3e1bef725dec92df7f1cd1007
  • d34ee70f162ce1dab6a80a6a3c8dabd8d2b1a77345be5b1d956c765752b11802
  • e3a3abf8c80637445bab387be288b6475992b6b556cb55a5a8c366401fb864c5
  • edb81219b7728fa2ea1d97d5b3189f498ed09a72b800e115f12843f852b2a441
Комментарии: 0
Похожие записи
0
2 дня
IOC

Партнеры Qilin атаковали администратора MSP ScreenConnect, нацеливаясь на клиентов.

security
В январе 2025 года администратор поставщика управляемых услуг (MSP) получил фишинговое письмо, представлявшее собой предупреждение об аутентификации для удаленного мониторинга и управления (RMM) инструмента ScreenConnect.
0
2 дня
Articles

Практические проблемы атрибуции APT в случае с подгруппой Lazarus

security
Lazarus- это название, относящееся не к одной атакующей группе, а к совокупности многих подгрупп. Это название первоначально относилось к деятельности одной группы или группы очень ограниченного размера