Telegram Group & Telegram Channel
Telegram Group » United States » Кибервойна » Telegram Webview » Post 2352
Кибервойна
Forwarded from F.A.C.C.T. Борьба с киберпреступностью
Новая активность кибершпионов: MimiStick — подражатели или эволюция Sticky Werewolf?

Давайте разбираться. Для начала сравним изображения.

⬅️ Слева — документ-приманка из мартовской атаки кибергруппы Sticky Werewolf.
➡️ Справа — приманка из свежей сентябрьской атаки.

🤭 Внешне они похожи, но совокупность тактик, техник, процедур (TTP) и инфраструктурные особенности указывают на то, что за атакой может стоять другой злоумышленник. Наши эксперты F.A.C.C.T. Threat Intelligence назвали его MimiStick.

Как протекает атака

После открытия приманки нагрузка запускает содержащийся в себе зашифрованный шеллкод.
Нагрузка — стэйджер, который загружает и запускает вторую стадию с удаленного узла. В качестве второй стадии используется Sliver implant c С2: techitzone[.]ru:443.
Домен techitzone[.]ru зарегистрирован 2 сентября 2024 г. С этим доменом связаны несколько дополнительных, которые были зарегистрированы тем же атакующим (полный список тут).

Среди связанных доменов обнаружен домен min-trud-gov[.]ru, мимикрирующий под Минтруда России. Он вызывает особый интерес, поскольку был зарегистрирован относительно недавно и совпадает по легенде с приманкой из обнаруженной атаки. Есть высокая вероятность, что он будет использоваться злоумышленниками в ближайшее время для проведения новых вредоносных рассылок.

🤭 Подробности и индикаторы компрометации — в нашем новом блоге на Хабре.
Please open Telegram to view this post
VIEW IN TELEGRAM
www.group-telegram.com/us/cyberguerre.com/2352
941 views



group-telegram.com/cyberguerre/2352
Create:
Last Update:

Новая активность кибершпионов: MimiStick — подражатели или эволюция Sticky Werewolf?

Давайте разбираться. Для начала сравним изображения.

⬅️ Слева — документ-приманка из мартовской атаки кибергруппы Sticky Werewolf.
➡️ Справа — приманка из свежей сентябрьской атаки.

🤭 Внешне они похожи, но совокупность тактик, техник, процедур (TTP) и инфраструктурные особенности указывают на то, что за атакой может стоять другой злоумышленник. Наши эксперты F.A.C.C.T. Threat Intelligence назвали его MimiStick.

Как протекает атака

После открытия приманки нагрузка запускает содержащийся в себе зашифрованный шеллкод.
Нагрузка — стэйджер, который загружает и запускает вторую стадию с удаленного узла. В качестве второй стадии используется Sliver implant c С2: techitzone[.]ru:443.
Домен techitzone[.]ru зарегистрирован 2 сентября 2024 г. С этим доменом связаны несколько дополнительных, которые были зарегистрированы тем же атакующим (полный список тут).

Среди связанных доменов обнаружен домен min-trud-gov[.]ru, мимикрирующий под Минтруда России. Он вызывает особый интерес, поскольку был зарегистрирован относительно недавно и совпадает по легенде с приманкой из обнаруженной атаки. Есть высокая вероятность, что он будет использоваться злоумышленниками в ближайшее время для проведения новых вредоносных рассылок.

🤭 Подробности и индикаторы компрометации — в нашем новом блоге на Хабре.

BY Кибервойна





Share with your friend now:
group-telegram.com/cyberguerre/2352

View MORE
Open in Telegram


Telegram | DID YOU KNOW?

Date: |

Since its launch in 2013, Telegram has grown from a simple messaging app to a broadcast network. Its user base isn’t as vast as WhatsApp’s, and its broadcast platform is a fraction the size of Twitter, but it’s nonetheless showing its use. While Telegram has been embroiled in controversy for much of its life, it has become a vital source of communication during the invasion of Ukraine. But, if all of this is new to you, let us explain, dear friends, what on Earth a Telegram is meant to be, and why you should, or should not, need to care. At this point, however, Durov had already been working on Telegram with his brother, and further planned a mobile-first social network with an explicit focus on anti-censorship. Later in April, he told TechCrunch that he had left Russia and had “no plans to go back,” saying that the nation was currently “incompatible with internet business at the moment.” He added later that he was looking for a country that matched his libertarian ideals to base his next startup. The account, "War on Fakes," was created on February 24, the same day Russian President Vladimir Putin announced a "special military operation" and troops began invading Ukraine. The page is rife with disinformation, according to The Atlantic Council's Digital Forensic Research Lab, which studies digital extremism and published a report examining the channel. It is unclear who runs the account, although Russia's official Ministry of Foreign Affairs Twitter account promoted the Telegram channel on Saturday and claimed it was operated by "a group of experts & journalists." DFR Lab sent the image through Microsoft Azure's Face Verification program and found that it was "highly unlikely" that the person in the second photo was the same as the first woman. The fact-checker Logically AI also found the claim to be false. The woman, Olena Kurilo, was also captured in a video after the airstrike and shown to have the injuries.
from us


Новая активность кибершпионов: MimiStick — подражатели или эволюция Sticky Werewolf?

 Кибервойна TG
Webview: 2352
Кибервойна.Telegram Webview
Кибервойна Telegram TG Channel
Telegram Updated:
Telegram Кибервойна
FROM American