PhaseShifters APT IOCs

Компания Positive Technologies, специализирующаяся на кибербезопасности, обнаружила новую атаку, которую приписывают хакерской группе PhaseShifters. Эта группа известна тем, что занимается шпионскими атаками на предприятия России, Беларуси и польские правительственные организации.

PhaseShifters APT

Название PhaseShifters отражает меняющиеся методы группы, которые следуют за группой UAC-0050. В своих атаках группа использует фишинговые письма, замаскированные под официальную переписку, предлагая получателям прочитать и подписать документ. Документы представляют собой защищенные паролем архивы, содержащие VPO (проверенные объекты полезной нагрузки), такие как Rhadamanthys, DarkTrack RAT и Meta Stealer.

Positive Technologies наблюдает высокую активность PhaseShifters с весны 2023 года и замечает сходство с группой UAC-0050, обнаруженной в 2020 году. Кроме того, в недавней атаке группы используются методы, схожие с теми, что применялись группами TA558 и Blind Eagle. Атака заключается в распространении по электронной почте архива с именем «Копия труда.docx.rar». Архив, защищенный паролем, содержит исполняемый файл, который загружает несколько файлов, включая один с провокационным названием, связанным с президентом России Путиным, и поддельный документ с изображениями белорусского паспорта.

В ходе атаки выполняются сценарии PowerShell, которые извлекают загрузчик VPO и конечную полезную нагрузку из репозиториев BitBucket. Репозитории, использованные в атаке, принадлежат разным пользователям - одному под ником Nano и другому под ником siniy34240. Репозиторий Nano в настоящее время неактивен, в то время как репозиторий siniy34240 все еще работает. Изображения в хранилищах включают в себя фотографию пустыни Атакама в Чили. Стоит отметить, что несколько групп по всему миру могут использовать один и тот же репозиторий. Репозитории BitBucket были связаны с атаками в России и Украине, что заставляет задуматься о сходстве между PhaseShifters и другой группой, обнаруженной в 2020 году.

Indicators of Compromise

IPv4

• 45.143.166.100
• 94.156.79.57

URLs

• https://bitbucket.org/adssgfdsg/testing/downloads/img_test.jpg?\d+
• https://bitbucket.org/fasf24124/fdgfytrj/downloads/.*\.txt
• https://bitbucket.org/fwfsfw/fwf/downloads/.*\.txt
• https://bitbucket.org/gdffffffff/ddddd/downloads/img_test.jpg?\d+
• https://bitbucket.org/gopal4/start/downloads/new_image?\d+
• https://bitbucket.org/hgdfhdfgd/test/downloads/new_image.jpg?\d+
• https://bitbucket.org/rfd344/erd/downloads/.*\.txt
• https://bitbucket.org/rulmerurk/ertertqw/downloads/.*\.txt
• https://bitbucket.org/sdgw/sdge/downloads/.*\.txt
• https://bitbucket.org/shieldadas/gsdghjj/downloads/img_test.jpg?\d+
• https://raw.githubusercontent.com/santomalo/audit/main/img_test.jpg?\d+

MD5

• 159dd6c962c8c15bab8e1cabf28eea87
• 2e8a9103a92a2b897692ce24c88d530c
• 33fe8d665d1df9b4fe716e30ab88253d
• 408c7ca69f1a25e43fb724635330fe34
• 55a505b3a045610c58e1812790dff7db
• 55f793b97e0bf8258ae9896b10b57dde
• 5bd41daab33c64628e68c9db455de546
• 5e3147137a49b00a102d5538d05077a3
• 6a5cb8007261d0ef578c02de549e5b6f
• 6c9f4e20674c9d8612e2f3820d32f49d
• 78128c6a00bb58fdc1228cc6c856288f
• 7e6cf0a3df371233b9be778aa6e28fb7
• 80e1ffa2c3c8b031c19fdb2eb061de12
• ac016863ff9cb26ddc1173da42a442d1
• b1a3dfa9ba32eb0400c16294b4285e8c
• b388dc8131fd81f81576fb3c1ec2e891
• d0fe6894bc2a79ff92e81047d9eef20e
• d69165cfd5e6da160c2a60bad8a9daff
• df5671afa8a8170a515c589e1b342d52
• ef416a2063373fdeb51db771cc01f558
• f02f33c5b8d664ac44c17c1f564cb3d2

SHA1

• 34fa113e508e354d43e2f5e7613fabca43213d83
• 370436540a97bffb1207b55cc2839ba67b4efe05
• 3fb4058642619f1dc90febe9794742ef172975d2
• 466caab305aace6234238a45b5dad9d6c0f182ff
• 5399cc7407bb604ca01b2733de9b221302d17489
• 62128c6b15c198f93bb11af238a3be35302b066e
• 759036faa3e742fb30bf7d35c9b991fcba2def2e
• 8ac178d78178155d9d6a81e525352edfe9496804
• 9567a69801e8fcc647cea2a4ba53228b2f64a936
• 9cbbb25e1e57c7df9ec571b471364efd8b9980f0
• a7e2ea509f3d24ed9e8148bcd0c4ca71c4401ee6
• a9cc98ca9f454f18c20777fce5cb91868925d4d7
• aa77562cf918b7d6847b6743e0f78c18ae4ddc58
• ab2773616e3e6207d3b8638a5f0e99e8a1f965ad
• ae327ecd6f312f5860fe35bacfa36cb9768852bb
• b927e1be735c9670ea7a4cca3b6c3f5d16b4e59f
• b9b687aeb4b21b67db2a948c69cd9cc6e7927334
• c10f20b2c74c53a838cfcd2b290cc528456f6c71
• c21235ea62041653310a57b17f92d2281cbdf79a
• c2e1b175c7fa938c15910c218b332d3188e0fdaf
• f14a1505471dd77efc07cfcfd4e5248fce09d495

SHA256

• 03beaec07cf5b4a818406819145591b393ebd1f353c00ba6b4ec7d9d2bb77c39
• 043f8a226b2cd4f81279f736ec3c65105b212ff4e71d89d540a62a7e41aedbf3
• 13fdbbe873978c9c46188ddf6b2f650e842ed69f76ebd6fc5242e4f144b882f1
• 1dd25d87c7d8bb002831ed549eb0f077bc1f22e4a61f6d383d17badf92a9e37b
• 2fb19586318b7dfd7bbacca8bc49682ce2ac842d72f70348715b12a7e2d9e189
• 330d3eee12c2d4c05abdac1cd9fbcb88b6f2f257b7f12f06332b9e63ce3b51e7
• 4b5e68c6b34253a92926a3704b8c5a52d8384f5d1688dbed552e3ec99bdd3e0a
• 4c54d42f09f4a412c91927eafa7f4899dda996c5b5b3929d0a33b696c6cbeedf
• 52ca602680b3599d7f62bd33e9846d9092b5016bda77465cad6cfb46bca1af7b
• 56d32ca1ba0042b4537bd7559b665d24785bf28586bef5901ea90b606c40d039
• 5fd43ae47a37af3f2975e4a9c5bb91ccbf1556e07e98ba91ba0ff25ab3a2b91f
• 60414e88a21df60b0caccdf498b41aa7c75c10d880ab61a620f5b13ba2faebd1
• 6e9d23e7b4a677651ccb362fa6833ca13deef184a45a801cb1d7d1f542210809
• 8eadd27519eb9a97959c7417696f906ce4de01e49e1321a466a2748e888db2a5
• a53f6d7e18e3544c40874330bc1af7b6600f4460d34417b0b0a444b49c0f267a
• d6132f3c8b4c46a53c3e68b08a4e26985bdb66638dcc812f57f5444a33532fbd
• df583fa929c39970bb7cf96456e24a47287dffcd2bedfbcc56f3cfc586806003
• e025dfc5c8a1057e1e9fa1df385ee396a1d480a7ff02fd01c74ff40c8f372bbf
• e6291596fc62e6589037fe1b9188692260877ad627280d620e571b0779778c1a
• f0d402ffd0b57202feadee1a0b831a27a4b8135933cddb3d99232fbb20d3e138
• f75d1d3c22ad03094098e20f73b01ea1d112b76ca52c3d0946f24d5c5d272951