GreenCharlie APT IOCs

По данным Insikt Group, активность группы GreenCharlie, нацеленной на политические и правительственные организации США, значительно возросла. Они используют сложные фишинговые кампании с целью доставки бэкдоров GORBLE и POWERSTAR.

Оглавление

GreenCharlie APT

Деятельность группы пересекается с другой иранской группировкой, APT42. Для проведения фишинговых атак GreenCharlie использует специально созданные домены, зарегистрированные у провайдеров Dynamic DNS, маскируя их под легитимные облачные хранилища или файлообменные сервисы. Это позволяет им получать доступ к конфиденциальной информации и распространять вредоносные файлы. GreenCharlie связана с вредоносными программами POWERSTAR и GORBLE, которые используются для целевых фишинговых кампаний с целью получения несанкционированного доступа и утечки данных. Для заманивания жертв группа использует социальную инженерию и текущие события. Insikt Group выявила иранские IP-адреса, взаимодействующие с инфраструктурой GreenCharlie, и подозревает, что группа проводит фишинговые атаки от имени Корпуса стражей исламской революции. Конечной целью группы является вмешательство в американские выборы, влияние на поведение избирателей и внесение раскола в общество.

Indicators of Compromise

IPv4

146.70.95.251
172.86.77.85
185.143.233.120
185.241.61.86
193.111.236.130
37.1.194.250
37.148.63.24
37.255.251.17
38.180.123.113
38.180.123.135
38.180.123.187
38.180.123.231
38.180.123.234
38.180.146.174
38.180.146.194
38.180.146.212
38.180.146.214
38.180.146.252
38.180.91.213
5.106.153.245
5.106.169.235
5.106.185.98
5.106.202.101
5.106.219.243
54.39.143.112
91.232.105.185
93.119.48.60
94.74.145.184
94.74.175.209

Domains

activeeditor.info
admin.cheap-case.site
api.cheap-case.site
api.overall-continuing.site
app.cheap-case.site
backend.cheap-case.site
callfeedback.duia.ro
chatsynctransfer.info
cloudarchive.info
cloudregionpages.info
cloudtools.duia.eu
coldwarehexahash.dns-dynamic.net
configtools.linkpc.net
contentpreview.redirectme.net
continue.duia.eu
continueresource.forumz.info
demo.cheap-case.site
destinationzone.duia.eu
dev.cheap-case.site
directfileinternal.info
doceditor.duckdns.org
documentcloudeditor.ddnsgeek.com
dynamicrender.line.pm
dynamictranslator.ddnsgeek.com
editioncloudfiles.dns-dynamic.net
entryconfirmation.duckdns.org
fileeditiontools.linkpc.net
filereader.dns-dynamic.net
finaledition.redirectme.net
highlightsreview.line.pm
hugmefirstddd.ddns.net
icenotebook.ddns.net
itemselectionmode.info
joincloud.duckdns.org
joincloud.mypi.co
lineeditor.001www.com
lineeditor.32-b.it
lineeditor.mypi.co
linereview.duia.eu
longlivefreedom.ddns.net
messagepending.info
mobiletoolssdk.dns-dynamic.net
nextcloud.duia.us
nextcloudzone.dns-dynamic.net
onetimestorage.info
onlinecloudzone.info
overflow.duia.eu
pagerendercloud.linkpc.net
pageviewer.linkpc.net
personalcloudparent.info
personalstoragebox.linkpc.net
personalwebview.info
pkglessplans.xyz
preparingdestination.fixip.org
projectdrivevirtualcloud.co.uk
readquickarticle.dns-dynamic.net
realcloud.info
realpage.redirectme.net
researchdocument.info
reviewedition.duia.eu
searchstatistics.duckdns.org
selfpackage.info
sharestoredocs.theworkpc.com
smartview.dns-dynamic.net
softservicetel.ddns.net
sourceusedirection.mypi.co
splitviewer.linkpc.net
storageprovider.duia.eu
streaml23.duia.eu
synctimezone.dns-dynamic.net
termsstatement.duckdns.org
thisismyapp.accesscam.org
thisismydomain.chickenkiller.com
timelinepage.dns-dynamic.net
timezone-update.duckdns.org
towerreseller.dns-dynamic.net
tracedestination.duia.eu
translatorupdater.dns-dynamic.net
uptime-timezone.dns-dynamic.net
uptimezonemetadta.run.place
vector.kozow.com
viewdestination.vpndns.net
webviewerpage.info
worldstate.duia.us
www.chatsynctransfer.info
www.selfpackage.info

SHA256

33a61ff123713da26f45b399a9828e29ad25fbda7e8994c954d714375ef92156
4ac088bf25d153ec2b9402377695b15a28019dc8087d98bd34e10fed3424125f
C3486133783379e13ed37c45dc6645cbee4c1c6e62e7988722931eef99c8eaf3

Technical report

cta-ir-2024-0820.pdf