Главная страница » IOC
0
8 месяцев
IOC

Fighting Ursa (APT28) APT IOCs

security

Fighting Ursa или APT28, был связан с кампанией по распространению вредоносной программы HeadLace с бэкдором. Эта кампания началась в марте 2024 года и была направлена на дипломатов, вероятно, связанных с российскими военными разведками. Fighting Ursa уже использовал подобные тактики в прошлом, включая использование рекламы машин для привлечения дипломатов.

Fighting Ursa

Кампания использует легитимные сервисы, такие как Webhook.site, для размещения вредоносного контента. В этой конкретной атаке, Fighting Ursa создал URL-адрес, который возвращал вредоносную HTML-страницу. HTML-код включает проверку операционной системы и создает ZIP-архив, содержащий вредоносные файлы, в том числе исполняемый файл с двойным расширением ".jpg.exe". Объявление о продаже дипломатического автомобиля, размещенное на бесплатном сайте ImgBB, использовалось в качестве приманки.

Подобные тактики использовались и другими группами. Например, в 2023 году группа "Cloaked Ursa" использовала объявление о продаже BMW для атаки на дипломатические представительства в Украине. Хотя эта кампания не связана с последней атакой Fighting Ursa, схожесть тактик указывает на поведение, характерное для этой группы.

В целом, Fighting Ursa продолжает использовать уязвимости и успешные тактики на протяжении длительного времени. Их недавняя кампания марта 2024 года является доказательством их нацеленности на дипломатов и использования общедоступных сервисов для взлома компьютеров.

Indicators of Compromise

URLs

  • https://i.ibb.co/vVSCr2Z/car-for-sale.jpg
  • https://webhook.site/66d5b9f9-a5eb-48e6-9476-9b6142b0c3ae
  • https://webhook.site/d290377c-82b5-4765-acb8-454edf6425dd

SHA256

  • 6b96b991e33240e5c2091d092079a440fa1bef9b5aecbf3039bf7c47223bdf96
  • 7c85ff89b535a39d47756dfce4597c239ee16df88badefe8f76051b836a7cbfb
  • a06d74322a8761ec8e6f28d134f2a89c7ba611d920d080a3ccbfac7c3b61e2e7
  • c6a91cba00bf87cdb064c49adaac82255cbec6fdd48fd21f9b3b96abf019916b
  • cda936ecae566ab871e5c0303d8ff98796b1e3661885afd9d4690fc1e945640e
  • dad1a8869c950c2d1d322c8aed3757d3988ef4f06ba230b329c8d510d8d9a027
Комментарии: 0
Похожие записи
0
8 часов
IOC

EncryptHub APT IOCs - Part 2

security
Угроза EncryptHub обнародована, когда команда разведки угроз KrakenLabs и Outpost24 провели исследование о его деятельности. EncryptHub стал все более популярным и развивающимся киберпреступником.
0
2 дня
IOC

Партнеры Qilin атаковали администратора MSP ScreenConnect, нацеливаясь на клиентов.

security
В январе 2025 года администратор поставщика управляемых услуг (MSP) получил фишинговое письмо, представлявшее собой предупреждение об аутентификации для удаленного мониторинга и управления (RMM) инструмента ScreenConnect.
0
3 дня
Articles

Практические проблемы атрибуции APT в случае с подгруппой Lazarus

security
Lazarus- это название, относящееся не к одной атакующей группе, а к совокупности многих подгрупп. Это название первоначально относилось к деятельности одной группы или группы очень ограниченного размера