S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 10 février 2021
N° CERTFR-2021-IOC-001
Affaire suivie par: CERT-FR
le 10 février 2021

Indicateurs de compromission du CERT-FR

Objet: Infrastructure d’attaque du groupe cybercriminel TA505

Gestion du document

Référence CERTFR-2021-IOC-001
Titre Infrastructure d’attaque du groupe cybercriminel TA505
Date de la première version 10 février 2021
Date de la dernière version 10 février 2021
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Les marqueurs techniques suivants sont associés à l’infrastructure d’attaque utilisée par le groupe cybercriminel TA505 depuis 2019 (voir la publication CERTFR-2021-CTI-002). Ils peuvent être utilisés à des fins de recherche de compromission dans des journaux historiques ou de détection temps réel pour les plus récents.

Il est également recommandé de bloquer tous les flux impliquant des adresses IP sur les plages « 91.214.124.0/24 » et « 176.121.14.0/24 » correspondant à des hébergements « bulletproof » uniquement utilisés à des fins malveillantes.

 

TÉLÉCHARGER LES MARQUEURS RÉSEAU (CSV SIMPLE)

 

TÉLÉCHARGER LES MARQUEURS RÉSEAU (CSV MISP)

 

TÉLÉCHARGER TOUS LES MARQUEURS (JSON MISP)

 

Toute communication depuis ou vers cette infrastructure ne constitue pas une preuve de compromission mais doit être analysée afin de lever le doute.

Gestion détaillée du document

    le 10 février 2021
    Version initiale