Главная страница » IOC
0
4 месяца
IOC

Midnight Blizzard (APT29) APT IOCs - Part 18

security

Кампания Earth Koshchei, также известная как APT29 или Midnight Blizzard, использовала неавторизованный протокол удаленного рабочего стола (RDP) для атак на различные цели. Они разослали фишинговые письма, которые подталкивали получателей использовать вредоносный файл конфигурации RDP. Это позволило злоумышленникам установить контроль над машиной жертвы и получить доступ к их данным. Кампания была детально спланирована и включала использование анонимизационных инструментов, таких как VPN-сервисы и TOR.

Midnight Blizzard (APT29) APT

Компания Earth Koshchei демонстрирует высокий уровень подготовки и инноваций. Они создали более 200 доменных имен, которые использовали для своей кампании. Использование RDP-ретранслятора и неавторизованного RDP-сервера позволило им маскировать свои атаки и усложнить их обнаружение. Microsoft и Amazon приписывают эту кампанию к группе угроз Midnight Blizzard, которую предположительно спонсирует российская Служба внешней разведки (СВР).

По данным Trend Micro, атаки были направлены на различные цели, включая правительственные учреждения и военных, аналитические центры и научных исследователей. Хотя многие организации блокировали исходящие RDP-соединения, некоторые машины могли быть уязвимыми, особенно домашние офисы или организации с менее строгими мерами безопасности. Атакующие также могли использовать нестандартные порты для обхода брандмауэра.

Кампания Earth Koshchei связывается с масштабными операциями, в которых они шпионят и собирают информацию с множества целей. Они применяют различные методы, включая распыление паролей, перебор учетных записей и фишинговые атаки. Они также разослали масштабное количество фишинговых писем, взламывая тысячи аккаунтов.

Таким образом, компания Earth Koshchei, использующая методику неавторизованного RDP, была идентифицирована как APT29 или Midnight Blizzard. Она проводит масштабные операции с использованием фишинговых писем и вредоносных файлов конфигурации RDP, чтобы получить доступ к данным и установить вредоносное ПО. Кампания демонстрирует высокий уровень подготовки и использование анонимизации для усложнения их обнаружения и атрибуции.

Indicators of Compromise

IPv4

  • 103.144.139.253
  • 103.144.139.254
  • 103.144.139.73
  • 103.144.139.74
  • 104.161.58.10
  • 104.225.129.128
  • 104.238.57.40
  • 104.238.60.216
  • 104.36.229.110
  • 109.205.214.45
  • 109.205.214.50
  • 109.205.214.52
  • 13.49.21.253
  • 135.181.130.232
  • 141.195.117.125
  • 141.195.117.126
  • 141.195.117.127
  • 141.195.117.128
  • 141.195.117.129
  • 142.91.38.80
  • 146.71.81.13
  • 149.154.158.133
  • 149.154.158.205
  • 149.154.158.250
  • 149.154.158.63
  • 149.154.158.85
  • 149.28.9.18
  • 151.236.14.116
  • 151.236.15.134
  • 151.236.16.101
  • 151.236.16.102
  • 151.236.16.128
  • 151.236.16.138
  • 151.236.16.149
  • 151.236.16.193
  • 151.236.16.213
  • 151.236.16.22
  • 151.236.16.220
  • 151.236.16.226
  • 151.236.16.236
  • 151.236.16.24
  • 151.236.16.245
  • 151.236.16.38
  • 151.236.16.98
  • 151.236.22.149
  • 151.236.22.36
  • 155.138.238.169
  • 158.255.213.154
  • 158.255.213.168
  • 158.255.213.185
  • 158.255.213.192
  • 158.255.213.227
  • 158.255.213.49
  • 162.216.243.210
  • 162.252.172.109
  • 162.252.172.155
  • 162.252.172.158
  • 162.252.172.167
  • 162.252.172.223
  • 162.252.172.59
  • 162.252.175.233
  • 166.0.187.183
  • 166.0.187.199
  • 166.0.187.231
  • 166.0.187.233
  • 166.0.187.235
  • 166.0.187.236
  • 166.0.187.237
  • 166.0.187.240
  • 166.0.187.241
  • 166.0.187.242
  • 166.0.187.243
  • 166.0.187.245
  • 166.0.187.252
  • 172.86.70.64
  • 172.86.73.187
  • 172.96.137.125
  • 175.110.112.221
  • 175.110.114.9
  • 176.97.70.55
  • 178.162.203.91
  • 178.239.171.41
  • 178.255.43.30
  • 179.43.148.82
  • 179.43.163.18
  • 179.43.180.74
  • 185.100.234.105
  • 185.172.39.220
  • 185.172.39.230
  • 185.172.39.50
  • 185.172.39.51
  • 185.172.39.52
  • 185.177.126.225
  • 185.187.155.33
  • 185.187.155.69
  • 185.187.155.71
  • 185.187.155.72
  • 185.187.155.73
  • 185.187.155.74
  • 185.187.155.78
  • 185.187.155.79
  • 185.187.155.81
  • 185.216.72.182
  • 185.216.72.185
  • 185.216.72.192
  • 185.216.72.196
  • 185.243.112.24
  • 185.243.114.9
  • 185.243.115.124
  • 185.76.79.118
  • 185.76.79.130
  • 185.76.79.140
  • 185.76.79.16
  • 185.76.79.167
  • 185.76.79.178
  • 185.76.79.190
  • 185.76.79.229
  • 185.76.79.233
  • 185.76.79.244
  • 185.76.79.53
  • 185.76.79.59
  • 185.76.79.60
  • 185.76.79.62
  • 185.76.79.86
  • 188.214.33.222
  • 190.211.254.32
  • 192.121.23.126
  • 192.36.27.226
  • 192.36.57.107
  • 193.200.17.162
  • 193.29.56.221
  • 193.29.59.9
  • 194.37.97.189
  • 195.3.220.48
  • 198.50.106.140
  • 198.50.106.141
  • 2.58.14.80
  • 2.58.200.78
  • 2.58.200.79
  • 2.58.200.80
  • 2.58.201.112
  • 2.58.201.27
  • 2.58.203.61
  • 209.182.225.10
  • 212.1.213.198
  • 212.1.213.200
  • 23.108.190.249
  • 23.160.56.100
  • 23.160.56.105
  • 23.160.56.110
  • 23.160.56.115
  • 23.160.56.122
  • 23.160.56.123
  • 23.160.56.90
  • 23.160.56.95
  • 23.227.194.189
  • 37.1.196.172
  • 37.28.153.214
  • 37.28.157.246
  • 38.180.110.238
  • 38.180.136.93
  • 38.180.137.213
  • 38.180.146.178
  • 38.180.146.193
  • 38.180.146.210
  • 38.180.146.216
  • 38.180.146.230
  • 38.180.146.28
  • 38.180.146.29
  • 38.180.146.30
  • 38.180.146.32
  • 38.180.199.28
  • 38.180.230.79
  • 38.180.5.60
  • 38.180.81.168
  • 38.180.83.103
  • 38.180.83.120
  • 38.180.88.106
  • 38.180.90.36
  • 38.180.91.2
  • 45.11.230.105
  • 45.11.230.111
  • 45.11.230.144
  • 45.11.230.155
  • 45.11.230.60
  • 45.11.231.8
  • 45.11.231.9
  • 45.134.110.55
  • 45.134.110.78
  • 45.134.110.82
  • 45.134.110.83
  • 45.134.111.123
  • 45.134.111.126
  • 45.137.21.10
  • 45.137.21.11
  • 45.137.213.17
  • 45.141.58.59
  • 45.141.58.60
  • 45.41.187.233
  • 45.67.84.14
  • 45.67.85.40
  • 45.80.193.9
  • 45.82.66.39
  • 45.86.162.170
  • 46.19.141.186
  • 46.249.38.131
  • 46.30.188.187
  • 46.30.189.62
  • 46.30.189.91
  • 5.133.9.252
  • 5.183.95.158
  • 5.183.95.240
  • 5.187.49.186
  • 62.72.7.213
  • 66.206.13.130
  • 80.87.206.241
  • 81.17.31.106
  • 82.180.139.47
  • 84.32.188.148
  • 84.32.188.153
  • 84.32.188.193
  • 84.32.188.197
  • 84.32.188.200
  • 89.35.131.153
  • 89.46.234.115
  • 89.46.234.152
  • 89.46.234.93
  • 92.204.164.50
  • 93.188.163.16
  • 93.188.164.74
  • 95.156.207.121
  • 95.217.113.133

Domains

  • 4freerussia.cloud
  • admin-ch.cloud
  • aeinc.solutions
  • albrightstonebridge.cloud
  • amazonmeeting.cloud
  • amazonsolutions.cloud
  • americanprogress.cloud
  • aspeninstitute.cloud
  • asucloud.us
  • aws-data.cloud
  • aws-il.cloud
  • aws-join.cloud
  • awsmeet.cloud
  • aws-meet.cloud
  • aws-meetings.cloud
  • awsmeetings.online
  • aws-online.cloud
  • awsplatform.online
  • aws-ukraine.cloud
  • backupify.cloud
  • barracuda.solutions
  • brookings.cloud
  • bund-de.cloud
  • caci.solutions
  • capgemini.services
  • ceip.cloud
  • cepa.solutions
  • cer.zone
  • cfr-aws.cloud
  • citoc.cloud
  • clari.cloud
  • clearancejobs.cloud
  • cnas.zone
  • c-r.services
  • crisisgroup.services
  • csbaonline.cloud
  • cwinc.cloud
  • defence-au.cloud
  • defense-gouv.cloud
  • democracyendowment.cloud
  • dep-no.cloud
  • difesa-it.cloud
  • druva.cloud
  • ecfr.cloud
  • eopgov.cloud
  • europa-eu.cloud
  • europeanvalues.cloud
  • exclaimer.solutions
  • forces-gc.cloud
  • foreignpolicy.cloud
  • freedomhouse.cloud
  • gc-cloud.ca
  • gmfus.cloud
  • go-conference.cloud
  • go-jp.cloud
  • go-meet.pro
  • go-meeting.cloud
  • go-meeting.online
  • go-meet-up.com
  • google-meet.cloud
  • googlemeet.zone
  • gouv-fr.cloud
  • gov-au.cloud
  • gov-aws.cloud
  • gov-fi.cloud
  • gov-gr.cloud
  • gov-lt.cloud
  • gov-lv.cloud
  • gov-pl.cloud
  • gov-sk.cloud
  • govtr.cloud
  • gov-trust.cloud
  • govua.cloud
  • gov-ua.cloud
  • gv-at.cloud
  • heritagecloud.org
  • justice.technology
  • kam-lt.cloud
  • macfound.services
  • mae-ro.cloud
  • mapn-ro.cloud
  • mde-es.cloud
  • mfa-gov.cloud
  • mfa-gov-il.cloud
  • mfa-gov-tr.cloud
  • microsoftmeeting.cloud
  • microsoft-meeting.cloud
  • mil-be.cloud
  • mil-ee.cloud
  • mil-pl.cloud
  • mil-pt.cloud
  • mimecast.cloud
  • minbuza.cloud
  • mindef-nl.cloud
  • mod-cloud.uk
  • mod-gov-il.cloud
  • morh-hr.cloud
  • ms-conference.cloud
  • msconferences.cloud
  • ms-meeting.com
  • ms-meeting.online
  • ms-meetings.online
  • msz-pl.cloud
  • mvep-hr.cloud
  • mzv-cz.cloud
  • mzv-sk.cloud
  • ncfta.cloud
  • ncsc.solutions
  • ndu.solutions
  • nrcc.cloud
  • oktacloud.us
  • opensocietyfoundations.cloud
  • parseccomputer.cloud
  • polycom.solutions
  • presidencia-pt.cloud
  • prio.zone
  • pulsesecure.cloud
  • quirinale.cloud
  • regeringskansliet-se.cloud
  • rrt.solutions
  • rubrik.zone
  • s3.army
  • s3-acronis.cloud
  • s3-army.cloud
  • s3-atlassian.cloud
  • s3-aws.cloud
  • s3-aws.global
  • s3-bah.cloud
  • s3-be.cloud
  • s3-blackberry.cloud
  • s3-cloud.us
  • s3-csis.cloud
  • s3-de.cloud
  • s3-dgap.cloud
  • s3-dk.cloud
  • s3-dnc.cloud
  • s3-esa.cloud
  • s3-fbi.cloud
  • s3-hudson.cloud
  • s3-ida.cloud
  • s3-iri.cloud
  • s3-knowbe4.cloud
  • s3-marcus.cloud
  • s3-monitoring.cloud
  • s3-nato.cloud
  • s3-ned.cloud
  • s3-nsa.cloud
  • s3-proofpoint.cloud
  • s3-pt.cloud
  • s3-rackspace.cloud
  • s3-rand.cloud
  • s3-spacex.cloud
  • s3-state.cloud
  • s3-stig.cloud
  • s3-ua.cloud
  • s3-ucia.cloud
  • s3-us.navy
  • s3-zoho.cloud
  • saiccloud.us
  • servicenowinc.us
  • shicloud.online
  • sipacolumbia.us
  • skykick.solutions
  • softcat.cloud
  • ssi-gouv-fr.cloud
  • statecloud.us
  • stratfor.cloud
  • swcloud.us
  • symbolsecurity.cloud
  • trustifi.cloud
  • ua-aws.army
  • ua-energy.cloud
  • ua-gov.cloud
  • ua-mil.cloud
  • ua-sec.cloud
  • ukrainesec.cloud
  • ukrtelecom.cloud
  • usaid.cloud
  • us-army.cloud
  • usip.us
  • us-mil.cloud
  • veeam.solutions
  • wilsoncenter.cloud
  • wrapsnet.cloud
  • zero-trust.solutions
  • zixcorp.cloud
  • zoom-meeting.cloud
  • zoom-meeting.live
  • zoom-meeting.pro
  • zoommeeting.today
  • zoom-meeting.today
  • zoommeeting.zone
  • zoom-meetings.cloud

SHA256

  • 1c1941b40718bf31ce190588beef9d941e217e6f64bd871f7aee921099a9d881
  • 280fbf353fdffefc5a0af40c706377142fff718c7b87bc8b0daab10849f388d0
  • 2fb1d01f9859c676ef37b060c5e8db0a12472c96260114a6edee45d8546184c9
  • 36e45fdeba3fdb3708fb1c2602c30cb5b66fbc5ea790f0716390d9f69c363542
  • 50bed47064e4ecd01c4a9271e63af7cfdf52ea4096f205470e41eef7eb01c1e1
  • 648afcc709ac18c4fe235d24bf51a8230e9700b97c3dcc0a739816966f2b58b6
  • 8b45f5a173e8e18b0d5c544f9221d7a1759847c28e62a25210ad8265f07e96d5
  • a246253fab152deac89b895a7c1bca76498b4aa044c907559c15109c1187a448
  • ba4d58f2c5903776fe47c92a0ec3297cc7b9c8fa16b3bf5f40b46242e7092b46
  • f32fa0e3902a1f287280e2e6ddcbfe4fc0a47f1fa5ddb5e04a7651c51343621e
  • f357d26265a59e9c356be5a8ddb8d6533d1de222aae969c2ad4dc9c40863bfe8
Комментарии: 0
Похожие записи
0
11 часов
IOC

Slow Pisces нацелился на разработчиков с проблемами кодирования и представил новое специализированное вредоносное ПО на Python

security
Slow Pisces - это северокорейская киберпреступная группа, спонсируемая государством КНДР. Они в основном занимаются кражей криптовалюты, нападая на крупные организации в криптовалютном секторе.
0
12 часов
IOC

Новые TTP и кластеры APT, атакующие с использованием нескольких платформ

security
Команда Seqrite Labs сообщает о новых тактиках, применяемых группировкой SideCopy APT, связанной с Пакистаном. Группа расширила свою сферу деятельности, теперь включая организации, входящие в состав министерств
0
1 день
IOC

Китайская группа электронных преступников атакует более 121 страны и представляет новый набор для банковского фишинга

security
Анализ Smishing Triad, китайской электронной преступной группировки, показывает, что она проводит SMS-фишинговые кампании в различных отраслях более чем в 121 стране.