Новая активность кибершпионов: MimiStick — подражатели или эволюция Sticky Werewolf?
Давайте разбираться. Для начала сравним изображения.
⬅️ Слева — документ-приманка из мартовской атаки кибергруппы Sticky Werewolf. ➡️ Справа — приманка из свежей сентябрьской атаки.
🤭 Внешне они похожи, но совокупность тактик, техник, процедур (TTP) и инфраструктурные особенности указывают на то, что за атакой может стоять другой злоумышленник. Наши эксперты F.A.C.C.T. Threat Intelligence назвали его MimiStick.
⚙Как протекает атака
☀После открытия приманки нагрузка запускает содержащийся в себе зашифрованный шеллкод. ☀Нагрузка — стэйджер, который загружает и запускает вторую стадию с удаленного узла. В качестве второй стадии используется Sliver implant c С2: techitzone[.]ru:443. ☀Домен techitzone[.]ru зарегистрирован 2 сентября 2024 г. С этим доменом связаны несколько дополнительных, которые были зарегистрированы тем же атакующим (полный список тут).
⚡Среди связанных доменов обнаружен домен min-trud-gov[.]ru, мимикрирующий под Минтруда России. Он вызывает особый интерес, поскольку был зарегистрирован относительно недавно и совпадает по легенде с приманкой из обнаруженной атаки. Есть высокая вероятность, что он будет использоваться злоумышленниками в ближайшее время для проведения новых вредоносных рассылок.
🤭 Подробности и индикаторы компрометации — в нашем новом блоге на Хабре.
Новая активность кибершпионов: MimiStick — подражатели или эволюция Sticky Werewolf?
Давайте разбираться. Для начала сравним изображения.
⬅️ Слева — документ-приманка из мартовской атаки кибергруппы Sticky Werewolf. ➡️ Справа — приманка из свежей сентябрьской атаки.
🤭 Внешне они похожи, но совокупность тактик, техник, процедур (TTP) и инфраструктурные особенности указывают на то, что за атакой может стоять другой злоумышленник. Наши эксперты F.A.C.C.T. Threat Intelligence назвали его MimiStick.
⚙Как протекает атака
☀После открытия приманки нагрузка запускает содержащийся в себе зашифрованный шеллкод. ☀Нагрузка — стэйджер, который загружает и запускает вторую стадию с удаленного узла. В качестве второй стадии используется Sliver implant c С2: techitzone[.]ru:443. ☀Домен techitzone[.]ru зарегистрирован 2 сентября 2024 г. С этим доменом связаны несколько дополнительных, которые были зарегистрированы тем же атакующим (полный список тут).
⚡Среди связанных доменов обнаружен домен min-trud-gov[.]ru, мимикрирующий под Минтруда России. Он вызывает особый интерес, поскольку был зарегистрирован относительно недавно и совпадает по легенде с приманкой из обнаруженной атаки. Есть высокая вероятность, что он будет использоваться злоумышленниками в ближайшее время для проведения новых вредоносных рассылок.
🤭 Подробности и индикаторы компрометации — в нашем новом блоге на Хабре.
In a statement, the regulator said the search and seizure operation was carried out against seven individuals and one corporate entity at multiple locations in Ahmedabad and Bhavnagar in Gujarat, Neemuch in Madhya Pradesh, Delhi, and Mumbai. On Feb. 27, however, he admitted from his Russian-language account that "Telegram channels are increasingly becoming a source of unverified information related to Ukrainian events." It is unclear who runs the account, although Russia's official Ministry of Foreign Affairs Twitter account promoted the Telegram channel on Saturday and claimed it was operated by "a group of experts & journalists." A Russian Telegram channel with over 700,000 followers is spreading disinformation about Russia's invasion of Ukraine under the guise of providing "objective information" and fact-checking fake news. Its influence extends beyond the platform, with major Russian publications, government officials, and journalists citing the page's posts. Update March 8, 2022: EFF has clarified that Channels and Groups are not fully encrypted, end-to-end, updated our post to link to Telegram’s FAQ for Cloud and Secret chats, updated to clarify that auto-delete is available for group and channel admins, and added some additional links.
from us