研究人员发现,与俄罗斯有关的 APT 组织 BlueCharlie 正在改变其基础设施,以响应最近有关其活动的报道。
该 APT 组织也称为 Blue Callisto、Callisto、COLDRIVER 和 Star Blizzard、TA446,至少自 2017 年以来一直活跃。其活动涉及持续的网络钓鱼和凭证盗窃活动,导致入侵和数据盗窃,并以北约国家为目标,这些活动针对波罗的海、北欧和东欧地区,包括乌克兰。
BlueCharlie 专注于国防和情报咨询公司、非政府组织和政府间组织的运营。该组织还针对前情报官员、俄罗斯事务专家和海外俄罗斯公民。
最近,据观察,BlueCharlie 正在构建新的基础设施来发起网络钓鱼活动和/或凭据收集。新的攻击基础设施于 2023 年 3 月开始创建,由 94 个新域组成。至少自 2022 年 12 月 17 日起,该组织对其域名使用了新的命名模式,其中包含与信息技术和加密货币相关的关键字。
- cloudrootstorage[.]com
- directexpressgateway[.]com
- pdfsecxcloudroute[.]com
- storagecryptogate[.]com
其中大多数已由 BlueCharlie 在 Porkbun 注册商处注册,其次是 NameCheap、Regway 和 REGRU。94 个新域名中的 78 个已使用 NameCheap 注册。
组织需要实施 MFA,强制实施频繁的密码重置策略,默认禁用 Microsoft Office 产品中的所有宏,培训员工、承包商和第三方供应商防范网络钓鱼、鱼叉式网络钓鱼和社会工程攻击,配置和维护适当的防御深入战略。
妥协指标
bittechllc[.]net
centeritdefcity[.]com
checkscreenit[.]com
cloudcpanelhost[.]com
clouddefsystems[.]com
cloudrootstorage[.]com
commandentrance[.]com
computertechdirectsystems[.]com
computingtechstudio[.]com
configuregatewayglobal[.]com
controlgatestorage[.]com
controlsstoragedirect[.]com
controlstoragesolutions[.]com
cryptdatagate[.]com
cryptoanalyzetech[.]com
cryptotechdirect[.]com
cryptothistech[.]com
datagatellc[.]com
datagatewayglobal[.]com
datastoragecrypto[.]com
definform[.]com
deskactivitygm[.]com
directdocumentgate[.]com
directdocumentgateway[.]com
directexpressgateway[.]com
directstoragegate[.]com
docsinfogate[.]com
documentdirectllc[.]com
documentdirectto[.]com
entrywaycenter[.]com
gateblurbrepository[.]com
gatecryptospace[.]com
gateinfosecure[.]com
gatestoragetech[.]com
gatewaydocsint[.]com
gatewayitsol[.]com
gatewayrecord[.]com
gawecryptoinfosolutions[.]com
getinfostarter[.]com
incappcloud[.]com
infocryptogate[.]com
infogatestorage[.]com
informationcoindata[.]com
informationswitchsystems[.]com
infostorageroute[.]com
intelligencerepository[.]com
itgatestorage[.]com转载来源:https://thecyberthrone.in/2023/08/06/bluecharlie-apt-infrastructure-overhaul/
图片来源网络侵权可联系删除
