【APT组织情报】APT35-FancyPig's blog

团伙概况

团伙名称	APT35
攻击者类型	国家背景组织
技术能力	低
负责国家/地区	伊朗
最早活动时间	2014-01-01
影响行业	军事、外交和政府人员、媒体组织、能源和国防工业基地(DIB)、工程、商业服务、电信部门
别名	Newscaster Team,APT 35,Phosphorus
攻击方式	钓鱼、网站渗透
攻击频率	中
影响国家/地区	美国、中东
最近活动时间	2022-04-25
常用语言	未知

团伙描述

APT35，也称为Newscaster Team，是一个由伊朗政府赞助的威胁组织，该组织开展长期、资源密集型行动以收集战略情报。

APT35 通常针对美国和中东的军事、外交和政府人员、媒体组织、能源和国防工业基地 (DIB) 以及工程、商业服务和电信部门进行攻击活动。 APT35通过其复杂的社会工程活动使用虚假的社会媒体角色进行网络钓鱼活动，也会利用Ekton CMS漏洞投递恶意荷载，其使用的工具包括Tunna、ASPXSHELLSV、PUPYRAT。

APT35使用的许多假角色都声称是新闻机构的一部分，这导致了APT35被称为Newscaster Team。此外，APT35被认为与charming kitten组织存在重叠

技战法

主要使用网络钓鱼和网站渗透技术。

历史报告

发现时间	报告名称	发布厂商
2022-04-25	APT35利用关键的 VMware RCE 漏洞安装后门	Morphisec
2022-01-11	APT35组织利用 Log4j 漏洞分发新型模块化后门	CheckPoint
2021-12-01	APT35利用ProxyShell漏洞发起勒索软件攻击	THE DFIR REPORT
2021-01-08	Charming Kitten’s Christmas Gift	CERTFR
2020-10-28	Cyberattacks target international conference attendees	Microsoft
2020-09-10	New cyberattacks targeting U.S. elections	Microsoft
2020-08-28	The-Kittens-are-Back-in-Town	ClearSky
2020-01-23	APTs & Threat Actors That May Increase Hostile Activity Due to Elimination of Iranian General Quassem Suleimani	Anomali
2019-10-04	Recent cyberattacks require us all to be vigilant	Microsoft
2019-03-27	New steps to protect customers from hacking	Microsoft

情报信息

文件hash情报

文件类型	文件哈希值
md5	d721669792457c94f6ee4a6db6ad8f24
md5	8ef35bbb2319640c27cefab83ae4a7ff
md5	c1ffd59ce53351db4cb6a4a3c4428c7d
md5	5f815434c2d993f1ef3b42f57677501a
md5	8a4c433c7378c37d6df129705143a789
md5	35687692c7c64595f0315fd7e3bb5443
md5	1d8bb8985e5ebcd4033282d444a0bf23
md5	d6e252326673733e93dfe35918e57a0e
md5	0b4e7f24ac9c8d68bdedee6595c5fa4f
md5	68c1aa74fd77755a5e98be1b52ff4886
md5	382375f63717022494d40753d6b85e58
md5	cecf62d4cbed33e6b4596e06bc5a14c5
md5	2067897831e6515cd718463822223b4a
md5	7af60476168bdeed25a919edf669175b
md5	cacb64bdf648444e66c82f5ce61caf4b
md5	8a847b0f466b3174741aac734989aa73
md5	f0be699c8aafc41b25a8fc0974cc4582
md5	5f098b55f94f5a448ca28904a57c0e58
md5	9a3703f9c532ae2ec3025840fa449d4e
md5	70875705e8bc3887cec4ef1873cdb152
md5	6e0ec6bd0bef489c83c2dce4876de5c8
md5	aaa55f1e48aba8856661fedc0074e81a
md5	43535540e94b39279af925e9548dce7f
md5	ab533be4ff9c99e8a03bc4cd413badb6
md5	aa7330d2d360cac61394843d8af730bb

域名/IP情报

类型	IOC列表
域名	a.archiverepositories.xyz
域名	accounts.customer-session.site
域名	accounts.service-verification.site
域名	agentappservice.ddns.net
域名	app-e.request.unlock-service.accounts.service-verification.site
域名	archiverepositories.xyz
域名	basementofdarkness.ddns.net
域名	benefitsredington.ddns.net
域名	bulk-approach.site
域名	challengechampions.ddns.net
域名	chn.archiverepositories.xyz
域名	confirm-identity.site
域名	com-posts6712qw12387.site
域名	com-254514785965.site
域名	com-3654623478192.site
域名	com.recover-session-service.site
域名	com-apk-6712qw123asd8awf7.site
域名	com-5464825879854.site
域名	com-archive.site
域名	com.service-verification.site
域名	customer.com-3654623478192.site
域名	customer.verification.com-3654623478192.site
域名	customer-session.site
域名	deepthinkingroom.ddns.net
域名	differentintegrated.ddns.net
域名	dynamiceventmanager.ddns.net
域名	enhanceservicchecke.hopto.org
域名	google.reset-account.com
域名	google.com-apk-6712qw123asd8awf7.site
域名	homedirections.ddns.net
域名	hello-planet.com
域名	heisonhisway.ddns.net
域名	identifier.session-confirmation.site
域名	identifier.recovery-session-verify.site
域名	identifier.service-support.site
域名	homeinspections.ddns.net
域名	identifier-service-verify.site
域名	identifier.recovery-session.site
域名	identity-session-recovery.site
域名	identifier-session-recovery.site
域名	jamaatforummah.com
域名	jamaatforallah.com
域名	jamaat-ul-islam.com
域名	jamatapplication.com
域名	cpcontacts.soasradio.org
域名	webmail.soasradio.org
域名	cpanel.soasradio.org
域名	webdisk.soasradio.org
域名	soasradio.org
域名	cpcalendars.soasradio.org
域名	mail.soasradio.org
域名	www.soasradio.org
域名	spam.apply-jobs.com
域名	www.apply-jobs.com
域名	mx.apply-jobs.com
域名	apply-jobs.com
域名	mail.apply-jobs.com
域名	1drv.cyou
域名	1drv.xyz
域名	1drv.casa
域名	1drv.surf
域名	1drv.icu
域名	1drv.live
域名	www.1drv.live
域名	1drv.online
域名	account-yahoomail.com
域名	products-symantec.com
域名	kristinaqueen.com
域名	shopforeplay.com
域名	readersdigest.top
域名	cpanel.maxenservices.com
域名	autodiscover.maxenservices.com
域名	mail.maxenservices.com
域名	www.maxenservices.com
域名	maxenservices.com
域名	webdisk.maxenservices.com
域名	noreplyservice.top
域名	talknews.co
域名	whatsapp-security.net
IP	54.37.164.254
IP	109.202.99.98
IP	134.19.188.242
IP	134.19.188.243
IP	134.19.188.244
IP	134.19.188.246
IP	185.23.214.188
IP	213.152.176.205
IP	213.152.176.206
IP	146.59.185.15
IP	146.59.185.19
IP	185.23.214.187
IP	54.38.49.6
IP	148.251.71.182
IP	185.141.63.8
IP	139.59.46.154
IP	95.216.230.247
IP	51.89.237.233
IP	185.141.63.162
IP	185.141.63.160
IP	51.255.157.110
IP	185.141.63.170
IP	185.141.63.156
IP	51.89.237.235
IP	185.141.63.135
IP	185.141.63.161
IP	51.38.87.199
IP	185.141.63.157
IP	51.89.237.234

相关声明 1 微信公众号：猪猪安全
2 本站永久网址：https://www.iculture.cc
3 本文内容仅为技术科普，请勿用于非法用途
4 本文内容未隐讳任何个人、群体、公司。非文学作品，请勿用于阅读理解的练习
5 根据《计算机软件保护条例》第十七条，本站所有软件请仅用于学习研究用途
6 本站一切资源不代表本站立场，并不代表本站赞同其观点和对其真实性负责

THE END