Компания Amazon, опираясь на данные, полученные от Команды реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA), выявила и пресекла фишинговую кампанию, приписываемую Midnight Blizzard.
Midnight Blizzard (APT29) APT
Кампания, активная по меньшей мере с августа 2024 года, имеет широкий целевой набор и включает в себя организации, связанные с правительством, предприятиями и военными в странах, представляющих интерес для России. Группа использовала фишинговые письма на украинском языке для сбора учетных данных Windows своих целей через Microsoft Remote Desktop. Многие из доменов, использовавшихся Midnight Blizzard, подделывались под Amazon Web Services (AWS), а также другие организации. Amazon заблокировала многие из этих доменов, чтобы сорвать кампанию.
Indicators of Compromise
Domains
- aws-data.cloud
- aws-il.cloud
- aws-join.cloud
- aws-meet.cloud
- aws-meetings.cloud
- aws-online.cloud
- awsplatform.online
- aws-s3.cloud
- aws-secure.cloud
- aws-ukraine.cloud
- eru-gov.cloud
- feedzai-gov.cloud
- gov-au.cloud
- gov-aws.cloud
- gov-fi.cloud
- gov-gr.cloud
- gov-lt.cloud
- gov-lv.cloud
- gov-pl.cloud
- govps.cloud
- gov-sk.cloud
- govtr.cloud
- gov-trust.cloud
- govua.cloud
- gov-ua.cloud
- md-gov.cloud
- mfa-gov.cloud
- mfa-gov-il.cloud
- mfa-gov-tr.cloud
- mf-gov.cloud
- mil-be.cloud
- mil-ee.cloud
- mil-pl.cloud
- mil-pt.cloud
- mmr-gov.cloud
- mod-gov-il.cloud
- mo-gov.cloud
- mpo-gov.cloud
- mpsv-gov.cloud
- msmt-gov.cloud
- mv-gov.cloud
- my-gov.cloud
- mzd-gov.cloud
- mze-gov.cloud
- mzp-gov.cloud
- mzv-gov.cloud
- nakit-gov.cloud
- nbu-gov.cloud
- nukib-gov.cloud
- policie-gov.cloud
- s3-acronis.cloud
- s3-army.cloud
- s3-atlassian.cloud
- s3-aws.cloud
- s3-bah.cloud
- s3-be.cloud
- s3-blackberry.cloud
- s3-csis.cloud
- s3-de.cloud
- s3-dgap.cloud
- s3-dk.cloud
- s3-dnc.cloud
- s3-esa.cloud
- s3-fbi.cloud
- s3-hudson.cloud
- s3-ida.cloud
- s3-iri.cloud
- s3-knowbe4.cloud
- s3-marcus.cloud
- s3-monitoring.cloud
- s3-nato.cloud
- s3-ned.cloud
- s3-nsa.cloud
- s3-proofpoint.cloud
- s3-pt.cloud
- s3-rackspace.cloud
- s3-rand.cloud
- s3-spacex.cloud
- s3-state.cloud
- s3-stig.cloud
- s3-ua.cloud
- s3-ucia.cloud
- s3-zoho.cloud
- ua-aws.army
- ua-energy.cloud
- ua-gov.cloud
- ua-mil.cloud
- ua-se.cloud
- ua-sec.cloud
- ua-sn.cloud
- ukrtelecom.cloud
- uohs-gov.cloud
- uoou-gov.cloud
- vlada-gov.cloud
- voa-gov.cloud
- zero-trust.solutions
SHA256
- 280fbf353fdffefc5a0af40c706377142fff718c7b87bc8b0daab10849f388d0
- 8b45f5a173e8e18b0d5c544f9221d7a1759847c28e62a25210ad8265f07e96d5
- ba4d58f2c5903776fe47c92a0ec3297cc7b9c8fa16b3bf5f40b46242e7092b46
- f357d26265a59e9c356be5a8ddb8d6533d1de222aae969c2ad4dc9c40863bfe8