MERCURY APT IOCs

security

Служба Microsoft Threat Intelligence обнаружила разрушительные операции, проводимые MERCURY, государственным актором, связанным с правительством Ирана, которые атаковали как локальные, так и облачные среды. Хотя угрожающие субъекты пытались замаскировать свою деятельность под стандартную кампанию выкупного ПО, невосстановимые действия показывают, что конечной целью операции было разрушение и нарушение работы.


Предыдущие атаки MERCURY были нацелены на локальные среды, однако в данном случае воздействие, очевидно, включало также разрушение облачных ресурсов. По оценке Microsoft, MERCURY, вероятно, работал в партнерстве с другим агентом, которого Microsoft отслеживает как DEV-1084, который осуществлял разрушительные действия после того, как успешные операции MERCURY получили доступ к целевой среде.

MERCURY, вероятно, использовал известные уязвимости в непропатченных приложениях для получения первоначального доступа, а затем передавал доступ DEV-1084 для проведения обширной разведки и обнаружения, установления устойчивости и бокового перемещения по сети, часто ожидая недели, а иногда и месяцы, прежде чем перейти к следующему этапу. Затем было замечено, что DEV-1084 использовал высокопривилегированные скомпрометированные учетные данные для массового уничтожения ресурсов, включая серверные фермы, виртуальные машины, учетные записи хранилищ и виртуальные сети, а также отправлял электронные письма внутренним и внешним получателям.
В этой записи блога мы подробно описываем наш анализ активности наблюдаемых агентов и соответствующие инструменты.

Microsoft использует обозначения DEV-#### в качестве временного названия неизвестного, возникающего или развивающегося кластера угроз, что позволяет Microsoft отслеживать его как уникальный набор информации до тех пор, пока не достигнет высокой степени уверенности в происхождении или личности субъекта, стоящего за этой деятельностью.

Indicators of Compromise

IPv4

  • 104.194.222.219
  • 141.95.22.153
  • 146.70.106.89
  • 192.169.6.88
  • 192.52.166.191
  • 192.52.167.209
  • 193.200.16.3
  • 194.61.121.86
  • 45.56.162.111
  • 45.86.230.20
  • 46.249.35.243

Domains

  • vatacloud.com
  • webstore4tech.uaenorth.cloudapp.azure.com

URLs

  • https://pairing.rport.io/qMLc2Wx

SHA256

  • 016967de76382c674b3a1cb912eb85ff642b2ebfe4e107fc576065f172c6ef80
  • 0dde13e3cd2dcda522eeb565b6374c97b3ed4aa6b8ed9ff9b6224ea97bf2a584
  • 3059844c102595172bb7f644c9a70d77a198a11f1e84539792408b1f19954e18
  • 36c71ce7cd38733eb66f32a8c56acd635680197f01585c5a2a846cc3cb0a8fe2
  • 3e59d36faf2d5e6edf1d881e2043a46055c63b7c68cc08d44cc7fc1b364157eb
  • 3fba459d589cd513d2478fb4ae7c4efd6aa09e62bc3ff249a19f9a233e922061
  • 486eb80171c086f4d184423ed7e79303ad7276834e5e5529b199f8ae5fc661f2
  • 6485a68ba1d335d16a1d158976e0cbfad7ab15b51de00c381d240e8b0c479f77
  • 786bd97172ec0cef88f6ea08e3cb482fd15cf28ab22d37792e3a86fa3c27c975
  • 80bd00c0f6d5e39b542ee6e9b67b1eef97b2dbc6ec6cae87bf5148f1cf18c260
  • 887ae654d69ac5ccb8835e565a449d7716d6c4747dc2fbff1f59f11723244202
  • 8dd9773c24703e803903e7a5faa088c2df9a4b509549e768f29276ef86ef96ae
  • 9107be160f7b639d68fe3670de58ed254d81de6aec9a41ad58d91aa814a247ff
  • ab179112caadaf138241c43c4a4dccc2e3c67aeb96a151e432cfbafa18a4b436
  • afd16b9ad57eb9c26c8ae347c379c8e2b82361c7bdff5b189659674d5614854c
  • b155c5b3a8f4c89ba74c5c5c03d029e4202510d0cbb5e152995ab91e6809bcd7
  • b9cf785b81778e2b805752c7b839737416e3af54f64f1e40e008142e382df0c4
  • f1edff0fb16a64ac5a2ce64579d0d76920c37a0fd183d4c19219ca990f50effc
Комментарии: 0