JokerDPR Group IOCs - SEC-1275-1

CERT-UA исследован один из инцидентов, информация о котором в манипулятивной форме опубликована в телеграмм-канале JokerDPR.

Выяснено, что одним из методов реализации киберугроз, которые осуществляются "последователями" JokerDPR и/или информация о которых публикуется в упомянутом канале, является проведение фишинговых атак, направленных на получение несанкционированного доступа к учетным записям почтовых сервисов Google, Ukr.Net, Outlook, а также криптовалютных бирж EXMO и Binance.

Для воплощения злонамеренного замысла злоумышленники с помощью регистраторов Tucows / Namecheap создают характерные доменные имена и соответствующие веб-страницы, имитирующие легитимные сервисы. Впоследствии, ссылки распространяются средствами электронной почты, в том числе, с легитимных скомпрометированных аккаунтов.

В случае получения доступа осуществляется выгрузка почтовой корреспонденции, файлов из хранилищ, после чего, с использованием полученных данных, готовится инфоповод с последующей публикацией искаженной информации.

Содержание

Indicators of Compromise
IPv4
Domains
URLs

Indicators of Compromise

IPv4

179.43.162.29
185.196.9.215
80.78.22.194

Domains

account.certifiedauth.in
account.coinbase.exmo.day
account.google.com.getssl.ink
account.live.com.exmo.day
account.live.com.getssl.click
account.outlook.live.com.exmo.day
accounts.binance.com.exmo.day
accounts.binance.com.personlog.in
accounts.certifiedauth.in
accounts.google.com.getssl.click
accounts.google2.certifiedauth.in
accounts.personlog.in
accounts.ukr.net.ssl2.in
accounts.ukr.net.ssl2.link
admin.certifiedauth.in
analytics.certifiedauth.in
analytics.google.com.getssl.click
analytics.google2.certifiedauth.in
api.binance.com.exmo.day
api.binance.com.personlog.in
api.personlog.in
apis.certifiedauth.in
apis.google.com.getssl.click
apis.google2.certifiedauth.in
authcheck.in
authssl.in
authssl.link
authssl.online
authssl.org
authssl.site
azwus1-client-s.gateway.messenger.certifiedauth.in
azwus1-client-s.gateway.messenger.exmo.day
azwus1-client-s.gateway.messenger.live.com.getssl.click
b.stats.certifiedauth.in
bin.binance.com.exmo.day
bin.binance.com.personlog.in
bin.personlog.in
binance.com.exmo.day
binance.com.personlog.in
blogger.certifiedauth.in
blogger.google.com.getssl.click
blogger.google2.certifiedauth.in
browser.events.data.certifiedauth.in
browser.events.data.exmo.day
browser.events.data.live.com.getssl.click
c.certifiedauth.in
c6.certifiedauth.in
cdn.certifiedauth.in
cdn.exmo.day
cdn.live.com.getssl.click
certifiedauth.in
coinbase.exmo.day
com.authssl.online
com.authssl.site
com.connectssl.in
com.exmo.day
com.getssl.click
com.getssl.ink
com.personlog.in
com.ssl2.online
com.ssl2.site
com.ssl3.online
com.ssl3.site
com.ssl4.online
connectssl.in
content.certifiedauth.in
content.exmo.day
content.google.com.getssl.click
content.google2.certifiedauth.in
csp.certifiedauth.in
csp.exmo.day
csp.live.com.getssl.click
data.certifiedauth.in
data.exmo.day
data.live.com.getssl.click
docs.gdrive.com.authssl.site
docs.gdrive.com.ssl2.online
docs.gdrive.com.ssl2.site
docs.googie.com.authssl.online
docs.googie.com.authssl.site
docs.googie.com.connectssl.in
docs.googie.com.ssl2.site
docs.googie.com.ssl3.online
docs.googie.com.ssl4.online
docs.google.com.ssl2.site
docs.google.com.ssl3.site
docs.googleauth.com.ssl3.site
docs.googledrive.com.ssl2.site
docs.ukr.net.ssl2.in
docs.ukr.net.ssl2.site
docs.ukr.net.ssl4.site
drive.certifiedauth.in
drive.gdocs.com.authssl.site
drive.gdocs.com.personlog.in
drive.gdocs.com.ssl2.online
drive.googie.com.connectssl.in
drive.googie.com.ssl2.site
drive.googie.com.ssl4.online
drive.google.com.getssl.click
drive.google2.certifiedauth.in
drive.googles.com.personlog.in
dynamic.exmo.day
edisk.ukr.net.ssl1.online
edisk.ukr.net.ssl2.in
edisk.ukr.net.ssl2.link
edisk.ukr.net.ssl3.site
events.data.certifiedauth.in
events.data.exmo.day
events.data.live.com.getssl.click
exceptions.exmo.day
exmo.day
files.ukr.net.ssl2.in
files.ukr.net.ssl2.online
files.ukr.net.ssl4.online
fonts.certifiedauth.in
fonts.google.com.getssl.click
fonts.google2.certifiedauth.in
frontend-m.binance.com.exmo.day
frontend-m.binance.com.personlog.in
frontend-m.personlog.in
gateway.messenger.certifiedauth.in
gateway.messenger.exmo.day
gateway.messenger.live.com.getssl.click
gdocs.com.authssl.site
gdocs.com.personlog.in
gdocs.com.ssl2.online
gdrive.com.authssl.site
gdrive.com.ssl2.online
gdrive.com.ssl2.site
geolocation.authcheck.in
getssl.click
getssl.ink
goaccount.link
googie.com.authssl.online
googie.com.authssl.site
googie.com.connectssl.in
googie.com.ssl2.site
googie.com.ssl3.online
googie.com.ssl4.online
google.com.getssl.click
google.com.getssl.ink
google.com.ssl2.site
google.com.ssl3.site
google.exmo.day
google2.certifiedauth.in
googleauth.com.ssl3.site
googledrive.com.ssl2.site
googles.com.personlog.in
googletag.exmo.day
hnd.stats.certifiedauth.in
hsts.online
images.exmo.day
lh3.google.com.getssl.click
lh3.google2.certifiedauth.in
live.com.exmo.day
live.com.getssl.click
login.certifiedauth.in
login.exmo.day
login.live.com.exmo.day
login.live.com.getssl.click
login.outlook.live.com.exmo.day
logincdn.certifiedauth.in
logincdn.exmo.day
m.binance.com.exmo.day
m.binance.com.personlog.in
m.personlog.in
mail.certifiedauth.in
mail.google.com.getssl.click
mail.google2.certifiedauth.in
messenger.certifiedauth.in
messenger.exmo.day
messenger.live.com.getssl.click
monitor.binance.com.exmo.day
monitor.binance.com.personlog.in
monitor.personlog.in
myaccount.certifiedauth.in
myaccount.google.com.getssl.click
myaccount.google2.certifiedauth.in
net.ssl1.online
net.ssl1.site
net.ssl2.in
net.ssl2.link
net.ssl2.online
net.ssl2.site
net.ssl3.online
net.ssl3.site
net.ssl4.online
net.ssl4.site
notifications.certifiedauth.in
notifications.google.com.getssl.click
notifications.google2.certifiedauth.in
ns1.authcheck.in
ns1.authssl.in
ns1.authssl.link
ns1.authssl.online
ns1.authssl.org
ns1.authssl.site
ns1.certifiedauth.in
ns1.connectssl.in
ns1.exmo.day
ns1.getssl.click
ns1.goaccount.link
ns1.passport2.zip
ns1.personlog.in
ns2.authcheck.in
ns2.authssl.in
ns2.authssl.link
ns2.authssl.online
ns2.authssl.org
ns2.authssl.site
ns2.certifiedauth.in
ns2.connectssl.in
ns2.exmo.day
ns2.getssl.click
ns2.goaccount.link
ns2.passport2.zip
ns2.personlog.in
ogs.certifiedauth.in
ogs.google.com.getssl.click
ogs.google2.certifiedauth.in
outlook.certifiedauth.in
outlook.exmo.day
outlook.live.com.exmo.day
outlook.live.com.getssl.click
outlook.outlook.live.com.exmo.day
outlook-1.cdn.certifiedauth.in
outlook-1.cdn.exmo.day
outlook-1.cdn.live.com.getssl.click
passport2.zip
personlog.in
play.certifiedauth.in
play.google.com.getssl.click
play.google2.certifiedauth.in
r4.res.certifiedauth.in
r4.res.exmo.day
r4.res.live.com.getssl.click
res.certifiedauth.in
res.exmo.day
res.live.com.getssl.click
secure.certifiedauth.in
sensors.binance.com.exmo.day
sensors.binance.com.personlog.in
sensors.personlog.in
share.ukr.net.ssl1.site
share.ukr.net.ssl3.online
shared.document.drive.googie.com.ssl4.site
shared.drive.googie.com.ssl4.online
shared.drive.googie.com.ssl4.site
ssl.certifiedauth.in
ssl.google.com.getssl.click
ssl.google2.certifiedauth.in
ssl1.online
ssl1.site
ssl2.in
ssl2.link
ssl2.online
ssl2.site
ssl3.online
ssl3.site
ssl4.online
ssl4.site
static.binance.com.exmo.day
static.binance.com.personlog.in
static.certifiedauth.in
static.personlog.in
stats.certifiedauth.in
t.certifiedauth.in
ukr.net.ssl1.online
ukr.net.ssl1.site
ukr.net.ssl2.in
ukr.net.ssl2.link
ukr.net.ssl2.online
ukr.net.ssl2.site
ukr.net.ssl3.online
ukr.net.ssl3.site
ukr.net.ssl4.online
ukr.net.ssl4.site
ws.exmo.day
www.authcheck.in
www.authssl.in
www.authssl.online
www.binance.com.exmo.day
www.binance.com.personlog.in
www.certifiedauth.in
www.connectssl.in
www.getssl.ink
www.google2.certifiedauth.in
www.hsts.online
www.personlog.in
www.ssl2.in
www.ssl2.link
www.ssl4.site
www2.certifiedauth.in
www2.google.com.getssl.click
www2.google2.certifiedauth.in
www3.google.com.getssl.click
www3.google2.certifiedauth.in

URLs

https://edisk.ukr.net.ssl2.link/shared/