FOFA资产拓线实战系列:COLDRIVER
💡
原文中文,约2500字,阅读约需6分钟。
📝
内容提要
COLDRIVER,一个俄罗斯威胁组织,通过凭证钓鱼攻击了非政府组织、前情报和军事官员以及北约政府的知名人士。最近的活动通过线索和FOFA平台被追踪,导致发现了两个高度可疑的IP地址。在新发现的IOC中没有发现未知资产。
🎯
关键要点
- COLDRIVER是一个俄罗斯威胁组织,专注于针对非政府组织、前情报和军事官员及北约政府的凭证钓鱼活动。
- 通过线索和FOFA平台追踪COLDRIVER的活动,发现两个高度可疑的IP地址。
- 活动时间为2023年8月至10月,相关的C2地址在2024年1月18日被公开。
- FOFA平台上发现的可疑IOC没有未知资产的样本,但这两个IP地址被认为具有高可疑性。
- 通过3000端口和TLS banner信息进行搜索,发现多个相似的IP地址。
- 证书信息显示,组织名为'Internet Widgits Pty Ltd',并且证书有效期为2023年6月23日。
- 最终确认的可疑IP地址包括45.133.216.15:3000、95.164.17.94:3000和89.19.211.240:3000。
- 总结认为,COLDRIVER组织在2023年8月至10月期间活跃,相关的可疑IP地址需要进一步监测。
➡️
