Новая активность кибершпионов: MimiStick — подражатели или эволюция Sticky Werewolf?Давайте разбираться. Для начала сравним изображения.
⬅️ Слева — документ-приманка из мартовской атаки кибергруппы Sticky Werewolf.
➡️ Справа — приманка из свежей сентябрьской атаки.
🤭 Внешне они похожи, но совокупность тактик, техник, процедур (TTP) и инфраструктурные особенности указывают на то, что за атакой может стоять другой злоумышленник. Наши эксперты F.A.C.C.T. Threat Intelligence назвали его
MimiStick.
⚙ Как протекает атака☀После открытия приманки нагрузка запускает содержащийся в себе зашифрованный шеллкод.
☀Нагрузка — стэйджер, который загружает и запускает вторую стадию с удаленного узла. В качестве второй стадии используется Sliver implant c С2: techitzone[.]ru:443.
☀Домен techitzone[.]ru зарегистрирован 2 сентября 2024 г. С этим доменом связаны несколько дополнительных, которые были зарегистрированы тем же атакующим (полный список
тут).
⚡Среди связанных доменов обнаружен домен min-trud-gov[.]ru, мимикрирующий под Минтруда России. Он вызывает особый интерес, поскольку был зарегистрирован относительно недавно и совпадает по легенде с приманкой из обнаруженной атаки. Есть высокая вероятность, что он будет использоваться злоумышленниками в ближайшее время для проведения новых вредоносных рассылок.
🤭 Подробности и индикаторы компрометации — в нашем новом
блоге на Хабре.