Главная страница » IOC
0
2 года
IOC

Winter Vivern APT IOCs - Part 2

security

SentinelLabs провела расследование деятельности Advanced Persistent Threat (APT) компании Winter Vivern, используя наблюдения, сделанные польским CBZC и украинским CERT. Наше исследование выявило ранее неизвестный набор кампаний шпионажа и целевых действий, проводимых этим субъектом угрозы.

Winter Vivern APT

Winter Vivern (APT) - это заслуживающая внимания, но относительно мало освещенная группа. DomainTools первоначально обнародовала информацию о группе в начале 2021 года, назвав ее на основе первоначальной URL-строки "wintervivern", которая больше не используется. Впоследствии, спустя несколько месяцев, Lab52 поделился дополнительным анализом, выявив новую активность, связанную с Winter Vivern.

Угрожающий субъект использует различные тактики, такие как фишинговые веб-сайты, фишинг учетных данных и развертывание вредоносных документов, которые адаптированы к конкретным потребностям целевой организации. Это приводит к развертыванию пользовательских загрузчиков и вредоносных документов, которые позволяют получить несанкционированный доступ к конфиденциальным системам и информации.

Анализ прошлой активности Winter Vivern показывает, что с 2021 года APT атаковала различные правительственные организации, включая Литву, Индию, Ватикан и Словакию.

Последние связанные кампании показывают, что Winter Vivern атаковал польские правительственные учреждения, Министерство иностранных дел Украины, Министерство иностранных дел Италии и отдельных лиц в правительстве Индии. Особый интерес представляет атака APT на частные предприятия, включая телекоммуникационные организации, которые поддерживают Украину в продолжающимся конфликте.

Нацеленность угроз на ряд государственных и частных организаций подчеркивает необходимость повышения бдительности, поскольку их операции охватывают глобальный набор целей, прямо или косвенно вовлеченных в войну.

Тактика Winter Vivern включала использование вредоносных документов, часто созданных на основе подлинных правительственных документов, находящихся в открытом доступе, или адаптированных под конкретные темы. Совсем недавно группа использовала новую технику заманивания, которая заключается в имитации правительственных доменов для распространения вредоносных загрузок.

В начале 2023 года группа Winter Vivern нацелилась на конкретные правительственные сайты, создав отдельные страницы на одном вредоносном домене, очень похожем на сайты Центрального бюро по борьбе с киберпреступностью Польши, Министерства иностранных дел Украины и Службы безопасности Украины.

В середине 2022 года злоумышленники также использовали интересные и менее заметные фишинговые веб-страницы для получения учетных данных правительственной электронной почты. Одним из примеров является ocspdep[.]com, который использовался для атак на пользователей законной службы электронной почты правительства Индии email.gov.in.

Если обратиться к менее недавней активности, то можно увидеть, что в декабре 2022 года группа, вероятно, атаковала лиц, связанных с проектом Hochuzhit.com ("Я хочу жить") - веб-сайтом правительства Украины, предлагающим руководство и инструкции для российских и белорусских вооруженных сил, стремящихся добровольно сдаться в плен. В этих атаках для заражения объекта угрозы использовалась электронная таблица Excel с поддержкой макросов.

Когда угрожающий субъект стремится скомпрометировать организацию, не ограничиваясь кражей законных учетных данных, Winter Vivern, как правило, использует общие наборы инструментов и злоупотребляет законными инструментами Windows.

Indicators of Compromise

IPv4

  • 176.97.66.57
  • 179.43.187.175
  • 179.43.187.207
  • 195.54.170.26
  • 80.79.124.135

Domains

  • bugiplaysec.com
  • marakanas.com
  • ocspdep.com
  • ocs-romastassec.com
  • security-ocsp.com
  • troadsecow.com

URLs

  • https://applesaltbeauty.com/wordpress/wp-includes/widgets/classwp/521734i
  • https://marakanas.com/Kkdn7862Jj6h2oDASGmpqU4Qq4q4.php
  • https://natply.com/wordpress/wp-includes/fonts/ch/097214o
  • https://ocs-romastassec.com/goog_comredira3cf7ed34f8.php

Emails

SHA1

  • 0fe3fe479885dc4d9322b06667054f233f343e20
  • 83f00ee38950436527499769db5c7ecb74a9ea41
  • a19d46251636fb46a013c7b52361b7340126ab27
  • a574c5d692b86c6c3ee710af69fccbb908fe1bb8
  • c7fa6727fe029c3eaa6d9d8bd860291d7e6e3dd0
  • f39b260a9209013d9559173f12fbc2bd5332c52a
Комментарии: 0
Похожие записи
0
1 день
IOC

Кампания CrazyHunter нацелена на критически важные секторы экономики Тайваня

security
Группа вымогателей CrazyHunter стала серьезной угрозой для организаций в Тайване, особенно в сферах здравоохранения, образования и промышленности. Они используют сложные техники, такие как метод "принеси
0
3 дня
IOC

Slow Pisces нацелился на разработчиков с проблемами кодирования и представил новое специализированное вредоносное ПО на Python

security
Slow Pisces - это северокорейская киберпреступная группа, спонсируемая государством КНДР. Они в основном занимаются кражей криптовалюты, нападая на крупные организации в криптовалютном секторе.