Главная страница » IOC
0
6 месяцев
IOC

Midnight Blizzard (APT29) APT IOCs - XIV

security

Группа анализа угроз Google (TAG) обнаружила «дикие» кампании эксплойтов, направленные на правительственные сайты Монголии в период с ноября 2023 по июль 2024 года. TAG приписывает эти атаки APT29 (Midnight Blizzard). Злоумышленники использовали эксплойты, схожие с теми, что применяют коммерческие поставщики систем видеонаблюдения Intellexa и NSO Group.

Midnight Blizzard (APT29) APT

В рамках этих кампаний распространялись эксплойты n-day для iOS и Chrome, поражающие непропатченные устройства. Первоначальным вектором заражения была атака «водяных дыр» на скомпрометированные веб-сайты, которые поставляли эксплойты для iOS WebKit и Chrome.

Кампании для iOS предоставляли эксплойт через CVE-2023-41993, нацеленный на пользователей iPhone старых версий. Анализ, проведенный TAG, показал, что эксплойт практически идентичен эксплойту, используемому коммерческим вендором Intellexa. Этот эксплойт использует тот же фреймворк для кражи файлов cookie, который TAG наблюдал в марте 2021 года, когда поддерживаемый российским государством злоумышленник использовал CVE-2021-1879 для кражи файлов cookie аутентификации с таких крупных сайтов, как LinkedIn, Gmail и Facebook.

TAG также обнаружил цепочку эксплойтов для Google Chrome, направленных на кражу учетных файлов у пользователей Android. Как и в случае с кампаниями на iOS, атака начиналась с первоначального доступа, полученного через «водяную дыру». Эта цепочка атак использовала CVE-2024-5274 для компрометации рендерера - эксплойт, который Chrome Security ранее обнаружила как «дикий» 0-day в мае 2024 года, использовавшийся коммерческой NSO Group. Кроме того, злоумышленники использовали CVE-2024-4671 для выхода из режима изоляции сайтов в Chrome.

TAG неизвестно, как предполагаемые участники APT29 приобрели эксплойты, используемые коммерческими поставщиками систем наблюдения.

Indicators of Compromise

SHA256

  • 21682218bde550b2f06ee2bb4f6a39cff29672ebe27acbb3cee5db79bf6d7297
  • 8bd9a73da704b4d7314164bff71ca76c15742dcc343304def49b1e4543478d1a
  • d19dcbb7ab91f908d70739968b14b26d7f6301069332609c78aafc0053b6a7e1
  • df21c2615bc66c369690cf35aa5a681aed1692a5255d872427a2970e2894b2e3
Комментарии: 0
Похожие записи
0
7 часов
IOC

APT37 - RokRat

security
APT37, также известная как ScarCruft, Reaper и Red Eyes - северокорейская хакерская группировка, спонсируемая государством и действующая с 2012 года. Изначально ее деятельность была сосредоточена на правительственном
0
7 часов
IOC

Squid Werewolf APT IOCs

security
В ходе недавней кибератаки злоумышленники использовали фишинговую электронную почту, чтобы атаковать ключевых сотрудников одной из промышленных организаций. Обнаруженная в декабре 2024 года экспертами BI.
0
1 день
IOC

Blind Eagle APT IOCs

security
Группа APT-C-36, известная также как Blind Eagle, продолжает активно атаковать колумбийские учреждения и правительственные структуры, используя уязвимость CVE-2024-43451, которая была исправлена Microsoft 12 ноября 2024 года.
0
1 день
IOC

SideWinder нацелилась на морской и ядерный секторы

security
APT-группа SideWinder продолжает активно расширять свою деятельность в морском и ядерном секторах, используя обновленный набор инструментов. В прошлом году исследователи обнаружили, что группа заражает