Недавно FireEye опубликовали отчет, посвященный операции "Шафрановая роза", кибератаке, которая была осуществлена иранской группой хакеров, известной как Ajax Security Team. В этом отчете исследователи отмечают, что иранские хакеры очень быстро перешли от атак на сайты и DDoS-атак к более сложным, направленным атакам с целью хищения информации. Используя мощную смесь средств социального инжиниринга и собственного вредоносного кода, эта группа направляла свои атаки как против иранских диссидентов, так и военных организаций США.
Как это происходило и с другими направленными атаками, вполне возможно, что эта кибер-акция распространилась и на другие, случайные жертвы. Все американские правительственные организации должны быть настороже, но при этом важно для всех организаций получить возможность обнаруживать и разрушать эту и другие аналогичные высокоорганизованные атаки.
Операция "Шафрановая роза" использовала вариации вредоносного ПО, носящего название Stealer, для сбора больших объемов конфиденциальной и важной информации с зараженных систем. Анализ этого хакерского кода, проведенный FireEye, обнаружил множество индикаторов компрометации, которые организации могут выискивать в своих сетях, чтобы определить,  являются ли они жертвой или нет, и если это так, быстро отреагировать на инцидент.
Если использовать такие системы, как Lancope StealthWatch, для сбора и анализа NetFlow, организации могут делать запросы на основе таких индикаторов компрометации, как IP-адреса и доменные имена,  для получения свидетельства о специфической атаки в своей сети.
Что касается операции "Шафрановая роза", в отчете FireEye упомянуто много таких индикаторов, которые используются при проведении атаки.  Преступники используют ряд обманных доменных имен, чтобы соблазнить свои жертвы. Вот список индикаторов компрометации, которые вы можете использовать при расследовании:

IP:
5.9.244.151
5.9.244.157
74.63.239.116
81.17.23.226
81.17.28.227
81.17.28.229
81.17.28.231
88.150.227.197
 

Домены:
accounts-apple[.]com
account-verify[.]net
aeroconf2014[.]org
appleid.com[.]co
intel-update[.]com
loginz[.]me
mailservermigration[.]tk
plugin-adobe[.]com
privacy-google[.]com
ultrasms[.]ir
update-mirror[.]com
users-facebook[.]com
vpnsecurityverification[.]tk
webpanelpages[.]tk
windows-essentials[.]tk
xn.facebook-06k[.]com
xn.google-yri[.]com
yahoomail.com[.]co

Не зависимо от того, верите вы или нет, что ваша организация стала жертвой этой атаки, иметь возможность проверить вашу сеть с помощью этих индикаторов очень важно в сегодняшних условиях постоянных атак.