NOBELIUM APT IOCs

security Security

Компания Recorded Future's Insikt Group продолжает отслеживать операции направленные на правительственные организации и организации частного сектора в различных географических регионах. Начиная с середины 2021 года, сбор данных Recorded Future по промежуточным точкам выявил устойчивый рост использования инфраструктуры NOBELIUM, отслеживаемой Insikt Group как SOLARDEFLECTION.

NOBELIUM

Анализ недавних и исторических доменов демонстрирует знакомство группы с различными СМИ, новостными и технологическими провайдерами и ее склонность подражать им. Группа использовала динамическое разрешение DNS для создания и разрешения произвольно созданных поддоменов для своих C2 или корневых доменов, чтобы ввести жертв в заблуждение. Ключевым аспектом этих атак является использование адресов электронной почты или URL-адресов, которые выглядят похожими на домен законной организации. Потенциально опасные регистрации доменов и типосквоты могут способствовать проведению копьеметательных кампаний или перенаправлений, представляющих повышенный риск для бренда компании или ее сотрудников. Успешный spearphish зависит от таких факторов, как качество сообщения, достоверность адреса отправителя и, в случае перенаправления URL-адреса, достоверность доменного имени. Insikt Group ранее наблюдала, как другие российские нексус-группы использовали опечатки в поддержку операций, например, направленных на президентские выборы 2020 года, чтобы повысить доверие к достоверности мошеннического портала, используемого для сбора учетных данных жертв. Об этой тактике также недавно сообщалось в открытых источниках в связи с вторжениями на предприятия в Украине, вероятно, в поддержку вторжения России в эту страну.

В 2021 году компания Volexity опубликовала исследование, в котором говорится о предполагаемой фишинговой операции APT29, направленной на неправительственные организации (НПО), исследовательские институты, правительства и международные органы, с использованием приманок на тему мошенничества на выборах, якобы отправленных от Агентства США по международному развитию (USAID), правительственного агентства. В тот же день Microsoft опубликовала результаты исследования более широких ТТП, использованных в той же кампании, и приписала эти действия NOBELIUM, группе, стоящей за вторжениями SolarWinds. Эта кампания была направлена на чувствительные дипломатические и правительственные учреждения еще в феврале 2021 года. Они считают, что угрожающий субъект использовал эту информацию для проведения других целевых атак в рамках более широкой кампании. Дополнительное исследование подтвердило, что кластер инфраструктуры, отслеживаемый Insikt Group под обозначением SOLARDEFLECTION с 2021 года, пересекается с этой предыдущей отчетностью. Текущие обнаружения в канале безопасности Recorded Future Command and Control помогли подтвердить регистрацию новых доменов, связанных с операциями NOBELIUM.

Indicator of Compromise

IPv4

  • 103.232.53.230
  • 13.67.239.91
  • 139.99.167.177
  • 139.99.178.56
  • 159.65.184.99
  • 195.206.181.169
  • 45.179.89.37
  • 45.32.59.31

Domains

  • 60daybusinessaudit.com
  • alifemap.com
  • an-4news.com
  • api.pcocot.com
  • bfilmnews.com
  • cbdnewsandreviews.net
  • celebsinformation.com
  • cityloss.com
  • crochetnews.com
  • d2rwiki.net
  • dom-news.com
  • eblogpro.com
  • eu-elb-10.rsa.eu.com
  • eu-elb-11.carbonblack.eu.com
  • exdiy.com
  • fashionnewsarticles.com
  • faststartbusiness.com
  • forward.splunk.eu.com
  • galatinonews.com
  • globaltrademotors.com
  • glogln.com
  • hanproud.com
  • hefuel.com
  • herosofthestorms.com
  • hostwt.com
  • mergers.ftclibrary-gov.com
  • mic.dnsrd.com
  • midcitylanews.com
  • mindsetsoft.com
  • news-techh.com
  • newstepsco.com
  • nextgencpe.com
  • nordicmademedia.com
  • onlinebusinessadviceuk.com
  • ovenfinance.com
  • pcocot.com
  • petslifenews.com
  • pharaosjournal.com
  • proracingnews.com
  • quiz.stakeverflow.com
  • rchosts.com
  • ret.workman-alerts.co.uk
  • saab.dnset.com
  • shebelnews.com
  • spaceheaterpro.com
  • stockmarketon.com
  • stonecrestnews.com
  • stsnews.com
  • support.starbulk.gr
  • tacomanewspaper.com
  • teachingdrive.com
  • theadminforum.com
  • theanalyticsnews.com
  • themobilecard.com
  • thetravelerspledge.com
  • theworldnewsgazette.com
  • theyardservice.com
  • trendignews.com
  • tsubux.com
  • update.aviraoperations.com
  • userdelivery.com
  • vmtoolsupdate.com
  • worldhomeoutlet.com
  • www.windowsupdate.com
  • zinczone.com

SHA256

  • 147991cd55a00ebb2ffe8053e49f40d13d334c54d073b083578bbbedcd6b2389
  • 1b0318224a1d139510139e1765c5e7b1295fc29c0ee861ea33a1ff4f68a93023
  • 1f5a915e75ad96e560cee3e24861cf6f8de299fdf79e1829453defbfe2013239
  • 3fcefd837ff32d28ccf3edb65954e595f8bdc06c9975e3cb46b71eefcf1ca770
  • 43886ea4e57b421bb15bb26f949ef3b1d9056229357b62babb7fec56f7cd0975
  • 6473dbb511354618ff5dc332f9a0c035ba6f2699431e2d2e766c830136afb64d
  • 6ee1e629494d7b5138386d98bd718b010ee774fe4a4c9d0e069525408bb7b1f7
  • 76975c897d6010e1faec7c2c4cb4fbf3aa5b09c7cf80fc8fa05831c2439db86a
  • 90fb7b856c0d34eaeca78e85a4ad5d699cff6b4140a3514061068232a68bc95a
  • 92534b3d5e69c0be7dad0efed6b5f0133ef00c0227a42853dc62cc383ca747c5
  • a4f1f09a2b9bc87de90891da6c0fca28e2f88fd67034648060cef9862af9a3bf
  • c4ff632696ec6e406388e1d42421b3cd3b5f79dcb2df67e2022d961d5f5a9e78
  • c6a3e82482d42b361d794bee779bff231082e15a7d2552093c46e7136a2c00c5
  • ee42ddacbd202008bcc1312e548e1d9ac670dd3d86c999606a3a01d464a2a330
  • ee44c0692fd2ab2f01d17ca4b58ca6c7f79388cbc681f885bb17ec946514088c
  • fbd2233ff798f26fb3998f5149af251f07fe4fa06b255dd6b991a569ae8097d5
  • ffa980b2a4a88c68f62288de56e9cfccacbb3f738492f98dff419c5f2f897377
Добавить комментарий