Главная страница » IOC
0
2 года
IOC

Fancy Bear (APT28) APT IOCs - Part 5

security

CERT-UA обнаружено HTML-файлы, которые имитируют вебинтерфейс почтовых сервисов (в частности, UKR.NET, Yahoo.com) и реализуют техническую возможность эксфильтрации введенных жертвой аутентификационных данных с помощью HTTP POST-запросов. При этом, передача похищенных данных осуществляется с помощью заранее скомпрометированных устройств Ubiquiti (EdgeOS).

Следует отдельно обратить внимание на тот факт, что один из HTML-файлов ("detail.html", MD5: b0ef610dffa854e239fca9475f35272a) содержит электронный адрес объекта атаки: "[email protected]". По имеющимся данным указанный адрес принадлежит Посольству Исламской Республики Иран в Тиране (Республика Албания).

Исходя из изложенного целесообразно сделать вывод о том, что группировкой APT28, деятельность которой направляется ГУ ГШ ВС РФ, в мае 2023 года, среди прочего, осуществлена целевая кибератака в отношении зарубежного дипломатического учреждения Ирана.

Indicators of Compromise

IPv4

  • 13.40.77.34
  • 37.191.122.186
  • 62.4.36.126

Domains

  • e41f3ea1cd183f22b691e396cbb50df3.zip
  • eopkne8kapj01xi.m.pipedream.net
  • eos93vb2cwsu3xf.m.pipedream.net
  • frge.io
  • mail-gov-ua.frge.io
  • net.frge.io
  • robot-876.frge.io
  • setnewcred.ukr.net.frge.io
  • setnewcreds.ukr.net.frge.io
  • ukr.net.frge.io

URLs

  • http://37.191.122.186:3578
  • http://62.4.36.126:8880
  • http://62.4.36.126:8880/captcha
  • http://robot-876.frge.io/
  • https://eopkne8kapj01xi.m.pipedream.net
  • https://eos93vb2cwsu3xf.m.pipedream.net
  • https://[email protected]

MD5

  • 358fcc8f7fae0aca138438ab013148bf
  • 42254517193b38f49dd7590e5959b199
  • 48d091b7601143e490aa7eef359010e2
  • b0ef610dffa854e239fca9475f35272a
  • cef772f121afb26a057b7232bba6bc94
  • e41f3ea1cd183f22b691e396cbb50df3

SHA256

  • 1dd1d4541a0e7a6a9dd1a3734edf14b0e7ef30a63123f606ca6f8d585047109f
  • 33c208cf0bafe98f0fc4ab9e7a3ddf25e2218d0bce01d6844780782a16ccab2f
  • 4754c4235bb0f5d2dbd0f12dea60b053855db8ab34ed1c226bfc89c3344d80d9
  • 4df72b051d8e3b97640ea3819da75ffb34df75aeb40403edb3e8482a8465dfab
  • 5249526db77f3756dd683fc2672623edd14c96d19248a83994f25598879018d0
  • 69340ec5e6e03bd609679e4d280904ea3b5ec4b85353581d860a1c3314d90dfe
Комментарии: 0
Похожие записи
0
8 часов
IOC

EncryptHub APT IOCs - Part 2

security
Угроза EncryptHub обнародована, когда команда разведки угроз KrakenLabs и Outpost24 провели исследование о его деятельности. EncryptHub стал все более популярным и развивающимся киберпреступником.
0
2 дня
IOC

Партнеры Qilin атаковали администратора MSP ScreenConnect, нацеливаясь на клиентов.

security
В январе 2025 года администратор поставщика управляемых услуг (MSP) получил фишинговое письмо, представлявшее собой предупреждение об аутентификации для удаленного мониторинга и управления (RMM) инструмента ScreenConnect.
0
3 дня
Articles

Практические проблемы атрибуции APT в случае с подгруппой Lazarus

security
Lazarus- это название, относящееся не к одной атакующей группе, а к совокупности многих подгрупп. Это название первоначально относилось к деятельности одной группы или группы очень ограниченного размера