Telegram Group & Telegram Channel
Telegram Group » Hong Kong » Кибервойна » Telegram Webview » Post 2352
Кибервойна
Forwarded from F.A.C.C.T. Борьба с киберпреступностью
Новая активность кибершпионов: MimiStick — подражатели или эволюция Sticky Werewolf?

Давайте разбираться. Для начала сравним изображения.

⬅️ Слева — документ-приманка из мартовской атаки кибергруппы Sticky Werewolf.
➡️ Справа — приманка из свежей сентябрьской атаки.

🤭 Внешне они похожи, но совокупность тактик, техник, процедур (TTP) и инфраструктурные особенности указывают на то, что за атакой может стоять другой злоумышленник. Наши эксперты F.A.C.C.T. Threat Intelligence назвали его MimiStick.

Как протекает атака

После открытия приманки нагрузка запускает содержащийся в себе зашифрованный шеллкод.
Нагрузка — стэйджер, который загружает и запускает вторую стадию с удаленного узла. В качестве второй стадии используется Sliver implant c С2: techitzone[.]ru:443.
Домен techitzone[.]ru зарегистрирован 2 сентября 2024 г. С этим доменом связаны несколько дополнительных, которые были зарегистрированы тем же атакующим (полный список тут).

Среди связанных доменов обнаружен домен min-trud-gov[.]ru, мимикрирующий под Минтруда России. Он вызывает особый интерес, поскольку был зарегистрирован относительно недавно и совпадает по легенде с приманкой из обнаруженной атаки. Есть высокая вероятность, что он будет использоваться злоумышленниками в ближайшее время для проведения новых вредоносных рассылок.

🤭 Подробности и индикаторы компрометации — в нашем новом блоге на Хабре.
Please open Telegram to view this post
VIEW IN TELEGRAM
www.group-telegram.com/hk/cyberguerre.com/2352
941 views



group-telegram.com/cyberguerre/2352
Create:
Last Update:

Новая активность кибершпионов: MimiStick — подражатели или эволюция Sticky Werewolf?

Давайте разбираться. Для начала сравним изображения.

⬅️ Слева — документ-приманка из мартовской атаки кибергруппы Sticky Werewolf.
➡️ Справа — приманка из свежей сентябрьской атаки.

🤭 Внешне они похожи, но совокупность тактик, техник, процедур (TTP) и инфраструктурные особенности указывают на то, что за атакой может стоять другой злоумышленник. Наши эксперты F.A.C.C.T. Threat Intelligence назвали его MimiStick.

Как протекает атака

После открытия приманки нагрузка запускает содержащийся в себе зашифрованный шеллкод.
Нагрузка — стэйджер, который загружает и запускает вторую стадию с удаленного узла. В качестве второй стадии используется Sliver implant c С2: techitzone[.]ru:443.
Домен techitzone[.]ru зарегистрирован 2 сентября 2024 г. С этим доменом связаны несколько дополнительных, которые были зарегистрированы тем же атакующим (полный список тут).

Среди связанных доменов обнаружен домен min-trud-gov[.]ru, мимикрирующий под Минтруда России. Он вызывает особый интерес, поскольку был зарегистрирован относительно недавно и совпадает по легенде с приманкой из обнаруженной атаки. Есть высокая вероятность, что он будет использоваться злоумышленниками в ближайшее время для проведения новых вредоносных рассылок.

🤭 Подробности и индикаторы компрометации — в нашем новом блоге на Хабре.

BY Кибервойна





Share with your friend now:
group-telegram.com/cyberguerre/2352

View MORE
Open in Telegram


Telegram | DID YOU KNOW?

Date: |

"We're seeing really dramatic moves, and it's all really tied to Ukraine right now, and in a secondary way, in terms of interest rates," Octavio Marenzi, CEO of Opimas, told Yahoo Finance Live on Thursday. "This war in Ukraine is going to give the Fed the ammunition, the cover that it needs, to not raise interest rates too quickly. And I think Jay Powell is a very tepid sort of inflation fighter and he's not going to do as much as he needs to do to get that under control. And this seems like an excuse to kick the can further down the road still and not do too much too soon." Right now the digital security needs of Russians and Ukrainians are very different, and they lead to very different caveats about how to mitigate the risks associated with using Telegram. For Ukrainians in Ukraine, whose physical safety is at risk because they are in a war zone, digital security is probably not their highest priority. They may value access to news and communication with their loved ones over making sure that all of their communications are encrypted in such a manner that they are indecipherable to Telegram, its employees, or governments with court orders. READ MORE Telegram boasts 500 million users, who share information individually and in groups in relative security. But Telegram's use as a one-way broadcast channel — which followers can join but not reply to — means content from inauthentic accounts can easily reach large, captive and eager audiences. Asked about its stance on disinformation, Telegram spokesperson Remi Vaughn told AFP: "As noted by our CEO, the sheer volume of information being shared on channels makes it extremely difficult to verify, so it's important that users double-check what they read."
from hk


Новая активность кибершпионов: MimiStick — подражатели или эволюция Sticky Werewolf?

 Кибервойна TG
Webview: 2352
Кибервойна.Telegram Webview
Кибервойна Telegram TG Channel
Telegram Updated:
Telegram Кибервойна
FROM American