Главная страница » Индикаторы компрометации
0
10 месяцев
Индикаторы компрометации

MuddyWater (TA450) APT IOCs - Part 6

security

Check Point Research (CPR) опубликовала отчет об иранской угрожающей группе MuddyWate (Mango Sandstorm), использующей пользовательский бэкдор под названием BugSleep для атак на организации в Израиле.


По данным CPR, MuddyWater связана с Министерством разведки и безопасности (MOIS) Ирана. Группа значительно активизировала свою деятельность в Израиле после начала войны между Израилем и Хамасом в октябре 2023 года, а также атаковала Саудовскую Аравию, Турцию, Азербайджан, Индию и Португалию.

MuddyWater обычно использует фишинговые кампании, используя взломанные учетные записи электронной почты организаций. С февраля 2024 года CPR выявила фишинговые письма, направленные на различные отрасли и организации, включая авиакомпании, журналистов, академические институты, муниципалитеты, логистику и здравоохранение. Как правило, письма представляют собой общие приглашения на вебинары или онлайн-курсы, содержащие вредоносную ссылку, встроенную в тело письма или во вложение.
В рамках этой кампании ряд фишинговых писем содержит ссылки, злоупотребляющие Egnyte, легитимной платформой для обмена файлами. Злоумышленники из MuddyWater создают поддомены Egnyte, соответствующие названиям компаний, которые используются в фишинговых письмах, чтобы развернуть легитимные инструменты удаленного мониторинга и управления (RMM), такие как Artera Agent и ScreenConnect, или BugSleep, пользовательский бэкдор.

BugSleep предназначен для выполнения команд и передачи файлов между скомпрометированной машиной и командно-контрольным (C2) сервером. Исследователи впервые заметили распространение этой вредоносной программы в мае 2024 года, и с тех пор злоумышленники из MuddyWater постоянно совершенствуют ее.

Содержание
  1. Indicators of Compromise
  2. IPv4
  3. Domains
  4. URLs
  5. SHA256

Indicators of Compromise

IPv4

  • 141.98.252.143
  • 146.19.143.14
  • 146.70.172.227
  • 169.150.227.205
  • 169.150.227.230
  • 185.248.85.20
  • 193.109.120.59
  • 194.4.50.133
  • 198.54.131.36
  • 200.200.200.248
  • 31.171.154.54
  • 45.150.108.198
  • 5.252.23.52
  • 85.239.61.97
  • 89.221.225.81
  • 91.235.234.202
  • 95.164.32.69

Domains

  • airpaz.egnyte.com
  • airpazfly.egnyte.com
  • airpazflys.egnyte.com
  • alkan.egnyte.com
  • alltrans.egnyte.com
  • bgu.egnyte.com
  • cairoairport.egnyte.com
  • cnsmportal.egnyte.com
  • downloadfile.egnyte.com
  • fbcsoft.egnyte.com
  • filecloud.egnyte.com
  • fileuploadcloud.egnyte.com
  • gcare.egnyte.com
  • getter.egnyte.com
  • kinneretacil.egnyte.com
  • ksa1.egnyte.com
  • megolan.egnyte.com
  • nour.egnyte.com
  • onlinemailerservices.com
  • rimonnet.egnyte.com
  • salary.egnyte.com
  • silbermintz1.egnyte.com
  • smartcloudcompany.com
  • smtpcloudapp.com
  • softwarehosts.com

URLs

  • https://shorturl.at/bYqUx
  • https://shorturl.at/NCxJk
  • https://ws.onehub.com/files/bbmiio1c
  • https://ws.onehub.com/files/zgov9aqy

SHA256

  • 02060a9ea0d0709e478e2fba6e9b71c1b7315356acc4f64e40802185c4f42f1c
  • 0ab2b0a2c46d14593fe900e7c9ce5370c9cfbf6927c8adb5812c797a25b7f955
  • 1c0947258ddb608c879333c941f0738a7f279bc14630f2c8877b82b8046acf91
  • 20aaeac4dbea89b50d011e9becdf51afc1a1a1f254a5f494b80c108fd3c7f61a
  • 31591fcf677a2da2834d2cc99a00ab500918b53900318f6b19ea708eba2b38ab
  • 39da7cc7c627ea4c46f75bcec79e5669236e6b43657dcad099e1b9214527670e
  • 4064e4bb9a4254948047858301f2b75e276a878321b0cc02710e1738b42548ca
  • 424a9c85f97aa1aece9480bd658266c366a60ff1d62c31b87ddc15a1913c10e4
  • 53b4a4359757e7f4e83929fba459677e76340cbec7e2e1588bbf70a4df7b0e97
  • 55af6a90ac8863f27b3fcaa416a0f1e4ff02fb42aa46a7274c6b76aa000aacc2
  • 5df724c220aed7b4878a2a557502a5cefee736406e25ca48ca11a70608f3a1c0
  • 73c677dd3b264e7eb80e26e78ac9df1dba30915b5ce3b1bc1c83db52b9c6b30e
  • 7e14ca8cb7980e85aff4038f489442eace33530fd02e2b9c382a4b6907601bee
  • 7e6b04e17ae273700cef4dc08349af949dbd4d3418159d607529ae31285e18f7
  • 88788208316a6cf4025dbabbef703f51d77d475dc735bf826b8d4a13bbd6a3ee
  • 8fbd374d4659efdc5b5a57ff4168236aeaab6dae4af6b92d99ac28e05f04e5c1
  • 90f94d98386c179a1b98a1f082b0c7487b22403d8d5eb3db6828725d14392ded
  • 94278fa01900fdbfb58d2e373895c045c69c01915edc5349cd6f3e5b7130c472
  • 960d4c9e79e751be6cad470e4f8e1d3a2b11f76f47597df8619ae41c96ba5809
  • a0968e820bbc5e099efd55143028b1997fd728d923c19af03a1ccec34ce73d9b
  • b8703744744555ad841f922995cef5dbca11da22565195d05529f5f9095fbfca
  • c23f17b92b13464a570f737a86c0960d5106868aaa5eac2f2bac573c3314eb0f
  • c80c8dd7be3ccf18e327355b880afb5a24d5a0596939458fb13319e05c4d43e9
  • c88453178f5f6aaab0cab2e126b0db27b25a5cfe6905914cc430f6f100b7675c
  • e2810cca5d4b74e0fe04591743e67da483a053a8b06f3ef4a41bdabee9c48cf7
  • e7896ccb82ae35e1ee5949b187839faab0b51221d510b25882bbe711e57c16d2
  • f925d929602c9bae0a879bb54b08f5f387d908d4766506c880c5d29986320cf9
  • fb58c54a6d0ed24e85b213f0c487f8df05e421d7b07bd2bece3a925a855be93a
  • ff2ae62ba88e7068fa142bbe67d7b9398e8ae737a43cf36ace1fcf809776c909
Комментарии: 0
Похожие записи
0
7 часов
Индикаторы компрометации

PlushDaemon компрометирует цепочку поставок корейского VPN-сервиса

security
Исследователи ESET обнаружили активность новой китайской APT-группы PlushDaemon, занимающейся кибершпионажем. Группа скомпрометировала цепочку поставок VPN-сервиса в Южной Корее, заменив легитимный установщик
0
8 часов
Индикаторы компрометации

Исследователи обнаружили активность MirrorFace, которая вышла за рамки привычного фокуса на Японии

security
Исследователи компании ESET обнаружили кибершпионскую деятельность группы MirrorFace, связанной с Китаем, которая впервые нацелилась на дипломатический институт Центральной Европы в связи с выставкой Expo 2025 в Японии.
0
8 часов
Индикаторы компрометации

Исследователи обнаружили глобальную шпионскую операцию APT-группы FishMonger

security
5 марта 2025 года было объявлено об обвинительном заключении со стороны Минюста США в отношении сотрудников компании I-SOON из Китая за их участие в глобальных операциях шпионажа.