OilRig (APT42) APT IOCs

Исследователи из Группы анализа угроз (TAG) Google установили, что злоумышленники APT42 (OilRig) стоят за целенаправленными фишинговыми кампаниями против Израиля и США.

APT42, связанная с иранским Корпусом стражей исламской революции (КСИР), постоянно атакует высокопоставленных пользователей в Израиле и США, включая правительственных чиновников, политические кампании, дипломатов, аналитические центры, НПО и академические институты. Тактика фишинга учетных данных, разработанная группой, включает в себя приманки социальной инженерии и использование фишинговых наборов для сбора учетных данных с различных страниц входа в систему.

Фишинговые кампании APT42 в основном направлены на пользователей в Израиле и США, с акцентом на военных, военных, дипломатов, ученых и представителей гражданского общества. Было замечено, что после получения доступа к аккаунту они добавляют дополнительные механизмы доступа. Несмотря на усилия Google по пресечению деятельности APT42, группа продолжает представлять собой сложную и постоянную угрозу, особенно для Израиля и США. По мнению Google, по мере эскалации напряженности между Ираном и Израилем ожидается увеличение числа кампаний APT42 в этом регионе.

Indicators of Compromise

IPv4

• 49.13.194.118
• 91.107.150.184

Domains

• accredit-navigation.online
• brookings.email
• checking-paneling.live
• check-pabnel-status.live
• click-choose-figured.cfd
• meetroomonlin1925.w3spaces.com
• panel-short-check.live
• s3api.shop
• sharedrive.webredirect.org
• short-ion-per.live
• smaaaal.cfd
• understandingthewar.org
• visioneditor.loseyourip.com

URLs

• https://checking-paneling.live/aliasauthG/autoref/vNSX6c2m
• https://checking-paneling.live/aliasauthG/Password
• https://check-pabnel-status.live/Gcollection/Password
• https://check-pabnel-status.live/Gcollection/Ref/CkliPwaM
• https://check-pabnel-status.live/Lcollection/Password
• https://check-pabnel-status.live/Lcollection/Ref/F53OQQkE
• https://click-choose-figured.cfd/Gallery/Password
• https://click-choose-figured.cfd/Gallery/Ref/FSaEM5gG
• https://firebasestorage.googleapis.com/v0/b/share-box-5f395.appspot.com/o/onedrive-qrty45.html
• https://meetroomonlin1925.w3spaces.com/
• https://n9.cl/4xgro
• https://panel-short-check.live/PhyfkFQX
• https://panel-short-check.live/ZZqt3LYD
• https://s3api.shop/api/
• https://sharedrive.webredirect.org/Khn/shoaGzA/cGNt/dMPaV/kvvhK
• https://short-ion-per.live/08EFNZ1
• https://smaaaal.cfd/Wp59tqKU
• https://visioneditor.loseyourip.com

SHA256

• 0180f4f29c550aa1ffaa21af51711b29de99fb1d7c932d008a0e9356ae8a7d60
• 33a61ff123713da26f45b399a9828e29ad25fbda7e8994c954d714375ef92156
• 4ac088bf25d153ec2b9402377695b15a28019dc8087d98bd34e10fed3424125f
• 82ae2eb470a5a16ca39ec84b387294eaa3ae82e5ada4b252470c1281e1f31c0a
• 89c1d1b61d7f863f8a651726e29f2ae3de7958f36b49a756069021817947d06c
• baac058ddfc96c8aea8c0057077505f0ad3ff20311d999886fed549924404849
• bc2597ce09987022ff0498c6710a9b51a1a47ed8082ac044be2838b384157527
• c3486133783379e13ed37c45dc6645cbee4c1c6e62e7988722931eef99c8eaf3
• c67cd544a112cab1bb75b3c44df4caf2045ef0af51de9ece11261d6c504add32
• f83e2b3be2e6db20806a4b9b216edc7508fa81ce60bf59436d53d3ae435b6060