Главная страница » IOC
0
9 месяцев
IOC

Fancy Bear (APT28) APT IOCs - Part 8

security

Украинская государственная команда по реагированию на компьютерные аварии и инциденты (CERT-UA) сообщила о вредоносной кампании шпионажа, которая нацелена на правительственные организации в Украине. Они предполагают, что за этой кампанией стоит злоумышленник APT28 (также известный как Sofacy, Fancy Bear и другие имена).

Fancy Bear (APT28) APT

Вредоносная кампания использовала колючий фишинг, чтобы заставить пользователей посетить удаленную HTML-страницу и открыть ярлык Windows. Это позволило злоумышленникам использовать инструменты удаленного исполнения, похитить учетные данные и собирать информацию о целях. CERT-UA также обнаружила другие вредоносные файлы и инфраструктуру, которые, вероятно, связаны с этой кампанией.

Чтобы распространить вредоносные программы, злоумышленники отправляли фишинговые письма, используя компрометированные учетные записи электронной почты. Фишинговые письма содержали ссылки на вредоносные веб-страницы, которые маскировались под размытые документы. После нажатия на кнопку на этой странице, запускался скрипт, который устанавливал соединение с вредоносными хостами и выполнял действия для дальнейшей атаки.

Также было обнаружено, что злоумышленники использовали публичное веб-приложение Interactsh в качестве маячка для контроля за прогрессом атаки и фильтрацией на основе IP-адресов. Они использовали идентификаторы Interactsh для этой кампании.

Вредоносные веб-страницы также вызывали обработку протокола Microsoft search:URI, что позволяло злоумышленникам запускать поиск файлов в операционной системе Windows и открывать окно проводника с результатами поиска.

Эта кампания шпионажа была нацелена на правительственные организации Украины и, возможно, Польши и Азербайджана. Хотя CERT-UA предполагает, что APT28 стоит за этой кампанией, не удалось достоверно связать их с конкретной группой. CERT-UA продолжает мониторить ситуацию и предоставлять информацию и рекомендации для защиты от этих атак.

Indicators of Compromise

IPv4

  • 12.171.204.129
  • 12.94.8.230
  • 124.168.91.178
  • 159.196.128.120
  • 172.114.170.18
  • 194.126.178.8
  • 203.221.195.80
  • 23.24.68.109
  • 61.68.76.111

Domains

  • cn5n8a92vtc00004a0t0gks3tbcyyyyyd.oast.fun
  • czyrqdnvpujmmjkfhhvs2x9oyfsn6gd7t.oast.fun
  • czyrqdnvpujmmjkfhhvs4knf1av02demj.oast.fun
  • czyrqdnvpujmmjkfhhvs9647ioh30wxvd.oast.fun
  • czyrqdnvpujmmjkfhhvsclx05sfi23bfr.oast.fun
  • czyrqdnvpujmmjkfhhvseabz1q5olrum5.oast.fun
  • czyrqdnvpujmmjkfhhvsqfxkqz68qzjcd.oast.fun
  • czyrqdnvpujmmjkfhhvsqslblw0mawilr.oast.fun
  • czyrqdnvpujmmjkfhhvsvlaax17vd5r6v.oast.fun
  • e-mod.firstcloudit.com
  • e-nas.firstcloudit.com
  • e-wody.firstcloudit.com
  • info-mod.firstcloudit.com
  • nas-files.firstcloudit.com
  • ua-calendar.firstcloudit.com
  • wody-info-files.firstcloudit.com

SHA256

  • 0429bdc6a302b4288aea1b1e2f2a7545731c50d647672fa65b012b2a2caa386e
  • 12a6ed6b24b77eaad892d7484ba3f150e0d3b3007d78d142dc407158ef77c107
  • 18f891a3737bb53cd1ab451e2140654a376a43b2d75f6695f3133d47a41952b6
  • 19d0c55ac466e4188c4370e204808ca0bc02bba480ec641da8190cb8aee92bdc
  • 1b598c7c35f00d2c940dfd3745bd9e5d036df781d391b8f3603a2969c666761b
  • 2328921cd1ec88aa3dec45c3367782b7760f6a7aa615b15feaad2e34e206e2f0
  • 24fd571600dcc00bf2bb8577c7e4fd67275f7d19d852b909395bebcbb1274e04
  • 2d844afe1a9f5c59ca96d2ab738ef43aec2391c8a37107d496d1d6cf260cede8
  • 3384a9ef3438bf5ec89f268000cc7c83f15e3cdf746d6a93945add300423f756
  • 4b71f745707832671067c4d534b486840565ba2cda04e7daf2e2ac1324ff3db8
  • 4c1b8d070885e92d61b72dc9424d9b260046f83daf00d93d3121df9ed669a5f9
  • 50b000a7d61885591ba4ec9df1a0a223dbceb1ac2facafcef3d65c8cbbd64d46
  • 516591eda6636ac1852ebac4b9b68e2a14d37e419d71f1697c34b55ee4d18bb4
  • 516970af209f517b312317b69f2091583fb631422fa0efc2f7cc3b1bfaf4bbf0
  • 593583b312bf48b7748f4372e6f4a560fd38e969399cf2a96798e2594a517bf4
  • 628bc9f4aa71a015ec415d5d7d8cb168359886a231e17ecac2e5664760ee8eba
  • 6fb2facdb906fc647ab96135ce2ca7434476fb4f87c097b83fd1dd4e045d4e47
  • 770206424b8def9f6817991e9a5e88dc5bee0adb54fc7ec470b53c847154c22b
  • 9959c04723b51190536d1cd149083d3719488baa8f5dfcfa00fad8def003c8ef
  • a333243927bb6956dc051ecea5f91b26a6c233b8164fafb9202e1f1e70ce045f
  • abf0c2538b2f9d38c98b422ea149983ca95819aa6ebdac97eae777ea8ba4ca8c
  • b61e0f68772f3557024325f3a05e4edb940dbbe380af00f3bdaaaeabda308e72
  • c22868930c02f2d6962167198fde0d3cda78ac18af506b57f1ca25ca5c39c50d
  • c8b6291fc7b6339d545cbfa99256e26de26fff5f928fef5157999d121fe46135
  • d84c39579e61c406380f37da7c2a6758ed9a4c9a0e7697c073e2ddbb563360cd
  • faf8db358e5d3dbe2eb9968d8b19f595f45991d938427124161f5ed45ac958d5
  • fe00bd6fba209a347acf296887b10d2574c426fa962b6d4d94c34b384d15f0f1
Комментарии: 0
Похожие записи
0
7 часов
IOC

EncryptHub APT IOCs - Part 2

security
Угроза EncryptHub обнародована, когда команда разведки угроз KrakenLabs и Outpost24 провели исследование о его деятельности. EncryptHub стал все более популярным и развивающимся киберпреступником.
0
2 дня
IOC

Партнеры Qilin атаковали администратора MSP ScreenConnect, нацеливаясь на клиентов.

security
В январе 2025 года администратор поставщика управляемых услуг (MSP) получил фишинговое письмо, представлявшее собой предупреждение об аутентификации для удаленного мониторинга и управления (RMM) инструмента ScreenConnect.
0
3 дня
Articles

Практические проблемы атрибуции APT в случае с подгруппой Lazarus

security
Lazarus- это название, относящееся не к одной атакующей группе, а к совокупности многих подгрупп. Это название первоначально относилось к деятельности одной группы или группы очень ограниченного размера