Главная страница » IOC
0
2 года
IOC

MoustachedBouncer APT IOCs

security

MoustachedBouncer - кибершпионская группа, обнаруженная компанией ESET Research и впервые публично раскрытая в этом блоге. Группа действует как минимум с 2014 года и нацелена только на иностранные посольства в Беларуси. С 2020 года MoustachedBouncer, скорее всего, смогла проводить атаки типа "противник посередине" (AitM) на уровне провайдеров на территории Беларуси, чтобы скомпрометировать свои цели. Группа использует два отдельных набора инструментов, которые мы назвали NightClub и Disco.

  • MoustachedBouncer ведет свою деятельность как минимум с 2014 года.
  • MoustachedBouncer специализируется на шпионаже в пользу иностранных посольств в Беларуси.
  • С 2020 года MoustachedBouncer использует метод "противник посередине" для перенаправления проверок через портал для пленных на C&C-сервер и доставки вредоносных плагинов через SMB-доли.
  • Мы полагаем, что для проведения операций AitM MoustachedBouncer использует систему законного перехвата (например, СОРМ).
  • Мы с низкой степенью уверенности считаем, что MoustachedBouncer тесно сотрудничает с Winter Vivern, другой группой, нацеленной на европейских дипломатов, но использующей иные ТТП.
  • С 2014 года эта группа эксплуатирует вредоносный фреймворк, который мы назвали NightClub. Для C&C-коммуникаций он использует протоколы SMTP и IMAP (электронная почта).
    Начиная с 2020 года, группа параллельно использует второй фреймворк, который мы назвали Disco.
  • И NightClub, и Disco поддерживают дополнительные шпионские плагины, включая скриншотер, аудиорекордер и похититель файлов.

Indicators of Compromise

IPv4

  • 209.19.37.184
  • 24.9.51.94
  • 35.214.56.2
  • 38.9.8.78
  • 52.3.8.25
  • 59.6.8.25

Emails

SHA1

  • 0241a01d4b03bd360dd09165b59b63ac2ceceafb
  • 02790dc4b276dfbb26c714f29d19e53129bb6186
  • 0401ee7f3bc384734bf7e352c4c4bc372840c30d
  • 0daea89f91a55f46d33c294cfe84ef06ce22e393
  • 11cf38d971534d9b619581cedc19319962f3b996
  • 142ff0770bc6e3d077fbb64d6f23499d9deb9093
  • 19e3d06fbe276d4aaea25abc36cc40ea88435630
  • 3a9b699a25257cbd0476cb1239ff9b25810305fe
  • 3ad77281640e7ba754e9b203c8b6abfd3f6a7bdd
  • 4f1cecf6d05571ae35ed00ac02d5e8e0f878a984
  • 52be04c420795b0d9c7cd1a4acbf8d5953fafd16
  • 5b55250cc0da407201b5f042322cfdbf56041632
  • 6999730d0715606d14acd19329af0685b8ad0299
  • 6e729e84c7672f048ed8ae847f20a0219e917fa3
  • 6eff58edf7ac0fc60f0b8f7e22cfe243566e2a13
  • 92115e21e565440b1a26ecc20d2552a214155669
  • a01f1a9336c83ffe1b13410c93c1b04e15e2996c
  • a3ae82b19fee2756d6354e85a094f1a4598314ab
  • c2aa90b441391adefaa3a841aa8ce777d6ec7e18
  • c46cb98d0ceccb83ec7de070b3fa7afee7f41189
  • c5b2323eae5e01a6019931ce35ff7623df7346ba
  • d14d9118335c9bf6633cb2a41023486dacbeb052
  • d2b715a72bba307cc9bf7690439d34f62edf1324
  • de0b38e12c0af0fd63a67b03dd1f8c1bf7fa6128
  • df8ded42f9b7de1f439aec50f9c2a13cd5eb1db6
  • e65eb4467ddb1c99b09ae87ba0a964c36bab4c30
  • e6de72516c1d4338d7e45e028340b54dcdc7a8ac
  • f92fe4dd679903f75ade64dc8a20d46dfbd3b277
  • fe9527277c06d7f986161291ce7854ee79788cb8

 

Комментарии: 0
Похожие записи
0
17 часов
IOC

Blind Eagle APT IOCs

security
Группа APT-C-36, известная также как Blind Eagle, продолжает активно атаковать колумбийские учреждения и правительственные структуры, используя уязвимость CVE-2024-43451, которая была исправлена Microsoft 12 ноября 2024 года.
0
18 часов
IOC

SideWinder нацелилась на морской и ядерный секторы

security
APT-группа SideWinder продолжает активно расширять свою деятельность в морском и ядерном секторах, используя обновленный набор инструментов. В прошлом году исследователи обнаружили, что группа заражает