IOC:
http://178.73.192.15/ca1.exe
http://files.ddrive.online:444/load
http://85.239.34.152/download/XWO_UnBkJ213.bin
http://transmissive-basin.000webhostapp.com
http://udapte.adesy.in
http://transfer.sh/get/mKwvWI/NHmZJu.rtf
http://transfer.sh/get/RTPlqa/oISxUP.rtf
http://files.ddrive.online:4448/a
http://banqueislamik.ddrive.online:4448/ZPjH
http://46.246.86.12/ca3.exe
http://178.73.192.15/ca1.exe
http://personnel.bdm-sa.fr
http://178.73.192.15/ca1.exe
http://transfer.sh
http://transfer.sh
http://files.ddrive.online:444/load
http://85.239.34.152/download/XWO_UnBkJ213.bin
http://transmissive-basin.000webhostapp.com
http://udapte.adesy.in
http://banqueislamik.ddrive.online
http://transfer.sh/get/mKwvWI/NHmZJu.rtf
http://transfer.sh/get/RTPlqa/oISxUP.rtf
http://files.ddrive.online:4448/a
http://banqueislamik.ddrive.online:4448/ZPjH
http://46.246.86.12/ca3.exe
http://178.73.192.15/ca1.exe
http://personnel.bdm-sa.fr
http://185.225.73.165
178.73.192.15
85.239.34.152
46.246.86.12
178.73.192.15
185.225.73.165
117c66c0aa3f7a5208b3872806d481fd8d682950573c2a7acaf7c7c7945fe10d
c56c915cd0bc528bdb21d6037917d2e4cde18b2ef27a4b74a0420a5f205869e6
91b3546dde60776ae3ed84fdf4f6b5fba7d39620f0a6307280265cde3a33206b
9c4c9fa4d8935df811cae0ce067de54ffdb5cfb4f99b4bc36c5aa2a1ac6f9c8f
1f6be4c29dfb50f924377444e5ca579d3020985a357533fc052226f0091febf6
d5b8009dcb50aac8a889e24f038a52fe09721d142a3f1eaa74ac37fff45e9ba2
ae4ff662c959cf24df621a2c0b934ed1fa1c26a270a180f695cd5295579afbbd
0612ef9d2239edeab05f421e3188e2cfcadacbaeafbc9b8e35e778f7234aaa3b
4acd4335ca43783ff52c0ccbb7e757ea14fb261c33d08268e85ed0ac34e0abec
47718762dc043f84fb641b1e0a8c65401160cc2e558fd38c14d5d35a114b93cb
a539961f80feb689546a2e334b03aed81252a04fae032e2d28ed9a7000b3afff
07ca6122fde46d48f71bcde356d5eeb89040e4a6e83441968a9dade98dc36fe5
938f50cb2e2d670497209e8cef5bf1042f752b6bf76d1547d68040b5a27f618b
a257eeebba15afecf76b89a379e066e5ed79a2bb9da349c1fdb5a24316abc753
f276c6a25d6b865c6202978f1d409e8b74e063263eab517f249cf6d3ad3fae4a
3d0fd0444a9e295135ecfdc8c87ddc6dcdff63969c745e0218469332aef18dfe
ac98e6bf6d16904355b1c706bc2b79761a8b09044da40f2c8bce35142ef8bcc8
ca75b0864d8308efe94eb0822de55eb7f5cfd482d2190100dfd00d433ee790a0
088110b0ee3588a4822049cf60fff31c67323a9b5993eae3104cc9737a47ce0c
b4adbb5d017d6452c2e1700584261cd3170ee5a14ac658424945f15177494ba1
818284e7ea0a4bd64ba0eda664f51877ed8c6d35bf052898559dbf4ad8030968
fa6ca0a168f3400a00dc43f1be07296f4111d7ad9b275809217a9269dd613ae8
d5b3b1304739986298ba9b7c3ff8b40b3740233d6bb02437ce61a20ee87468bc
8495a328fdd4afd33c3336e964802018d44c1dda15b804560743d6276e926218
ce2ea1807d984e1392599d05f7ab742bae4f20f8ef80c5a514fbdeede2ff7e55
e933ec0f52cbc60b92134d48b08661b1af25c7d93ff5041fc704559b45bd85b8
6db5e2bb146b11182f29d03b036af4e195044f0ef7a8f7c4429f5d4201756b8f
f4fba2181668f766fdfbd1362420a53ac0b987f999c95baf5dbe235fd3bad4b8
ec2146655e2c04bf87b8db754dd2e92b8c48c4df47b64a9adc1252efd8618e62
e5633d656dea530a62f5ad2792f253e74453712be34d2eadfb49190f7a9ee10b
0440ef40c46fdd2b5d86e7feef8577a8591de862cfd7928cdbcc8f47b8fa3ffc
5090f311b37309767fb41fa9839d2770ab382326f38bab8c976b83ec727e6796
5e245281f4924c139dd90c581fc79105ea19980baa68eeccf5bf36ae613399b9
31eb1de7e840a342fd468e558e5ab627bcb4c542a8fe01aec4d5ba01d539a0fc
요약:
Symantec Enterprise Blogs Threat Intelligence 메뉴 메인 메뉴 블로그 홈 위협 인텔리전스 - 모든 부서 기능 스토리 - Symantec Enterprise Expert Perspectives - Symantec Enterprise Product Insights Rasonware SolarWinds RSA Conference 검색 Broadcom 홈 위협 헌터 팀 게시: 2023년 1월 5일 11분 위협 인텔리전스 읽기구독 블루보틀에서 링크된 팔로우 트위터: 캠페인은 아프리카 프랑스어권 국가의 은행을 강타합니다. 이전에 문서화된 활동의 계속은 새로운 TTP를 활용합니다. 금융권에 대한 표적 공격을 전문으로 하는 사이버 범죄 집단 블루보틀이 프랑스어권 국가의 은행들에 대한 공격을 계속하고 있다. 이 그룹은 이 캠페인에 사용자 지정 악성 프로그램이 배포되지 않은 상태에서 토지, 이중 사용 도구 및 일반 악성 프로그램을 광범위하게 사용합니다.
Broadcom Software의 한 부서인 Symantec이 관찰한 활동은 2022년 11월부터 그룹-IB 보고서에 문서화된 활동의 연속으로 보입니다. 그룹-IB가 문서화한 활동은 2019년 중반부터 2021년까지이며, 그 기간 동안 OPERA1ER라고 불리는 이 그룹이 30개의 표적 공격 과정에서 최소 1,100만 달러를 훔쳤다고 밝혔다.
Group-IB에서 문서화한 활동과 Symantec에서 확인한 활동 간의 전술, 기술 및 절차(TTP)의 유사점은 다음과 같습니다:
두 활동 모두에서 동일한 도메인이 표시됨: 인원[.]bdm-sa[.]fr
사용된 동일한 도구 중 일부: Ngrok;PsExec;RDPWrap;노출기 키로거;코발트 스트라이크 비콘
두 작업 집합 모두에서 사용자 지정 악성 프로그램을 찾을 수 없습니다
아프리카의 프랑스어권 국가들을 대상으로 한 크로스오버
두 가지 활동 모두 산업별, 지역별 도메인 이름을 사용하는 기능을 갖추고 있습니다
이것은 그룹-IB가 문서화한 활동의 계속으로 보이지만, 시만텍이 본 활동은 적어도 2022년 7월부터 2022년 9월까지 진행된 것으로, 일부 활동은 2022년 5월까지 거슬러 올라갈 수 있다. 누군가...
블루보틀: 아프리카 프랑스어권 국가의 은행을 강타한 캠페인 | Symantec Enterprise 블로그:
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/bluebottle-banks-targeted-africa
'Security > News' 카테고리의 다른 글
| 이란에서 중국의 장난꾸러기 황소자리 활동 관련 IOC 79개 발견 (0) | 2023.01.24 |
|---|---|
| 두루미플라이: 비밀 캠페인에서 이전에 볼 수 없었던 기술과 도구를 사용하는 위협 행위자 | Symantec Enterprise 블로그 관련 IOC 10개 발견 (0) | 2023.01.24 |
| 빌버그: 국가가 후원하는 Actor Targets Cert Authority, 여러 아시아 국가의 정부 기관 | Symantec Enterprise 블로그 관련 IOC 23개 발견 (0) | 2023.01.24 |
| 유튜브는 나의 C2 - bit_of_hex 관련 IOC 158개 발견 (0) | 2023.01.24 |
| 러시아-우크라이나 사이버 공격에 대한 또 다른 사이버 스파이 활동 관련 IOC 14개 발견 (0) | 2023.01.24 |