Telegram Group & Telegram Channel
Telegram Group » Netherlands » Кибервойна » Telegram Webview » Post 2352
Кибервойна
Forwarded from F.A.C.C.T. Борьба с киберпреступностью
Новая активность кибершпионов: MimiStick — подражатели или эволюция Sticky Werewolf?

Давайте разбираться. Для начала сравним изображения.

⬅️ Слева — документ-приманка из мартовской атаки кибергруппы Sticky Werewolf.
➡️ Справа — приманка из свежей сентябрьской атаки.

🤭 Внешне они похожи, но совокупность тактик, техник, процедур (TTP) и инфраструктурные особенности указывают на то, что за атакой может стоять другой злоумышленник. Наши эксперты F.A.C.C.T. Threat Intelligence назвали его MimiStick.

Как протекает атака

После открытия приманки нагрузка запускает содержащийся в себе зашифрованный шеллкод.
Нагрузка — стэйджер, который загружает и запускает вторую стадию с удаленного узла. В качестве второй стадии используется Sliver implant c С2: techitzone[.]ru:443.
Домен techitzone[.]ru зарегистрирован 2 сентября 2024 г. С этим доменом связаны несколько дополнительных, которые были зарегистрированы тем же атакующим (полный список тут).

Среди связанных доменов обнаружен домен min-trud-gov[.]ru, мимикрирующий под Минтруда России. Он вызывает особый интерес, поскольку был зарегистрирован относительно недавно и совпадает по легенде с приманкой из обнаруженной атаки. Есть высокая вероятность, что он будет использоваться злоумышленниками в ближайшее время для проведения новых вредоносных рассылок.

🤭 Подробности и индикаторы компрометации — в нашем новом блоге на Хабре.
Please open Telegram to view this post
VIEW IN TELEGRAM
www.group-telegram.com/nl/cyberguerre.com/2352
941 views



group-telegram.com/cyberguerre/2352
Create:
Last Update:

Новая активность кибершпионов: MimiStick — подражатели или эволюция Sticky Werewolf?

Давайте разбираться. Для начала сравним изображения.

⬅️ Слева — документ-приманка из мартовской атаки кибергруппы Sticky Werewolf.
➡️ Справа — приманка из свежей сентябрьской атаки.

🤭 Внешне они похожи, но совокупность тактик, техник, процедур (TTP) и инфраструктурные особенности указывают на то, что за атакой может стоять другой злоумышленник. Наши эксперты F.A.C.C.T. Threat Intelligence назвали его MimiStick.

Как протекает атака

После открытия приманки нагрузка запускает содержащийся в себе зашифрованный шеллкод.
Нагрузка — стэйджер, который загружает и запускает вторую стадию с удаленного узла. В качестве второй стадии используется Sliver implant c С2: techitzone[.]ru:443.
Домен techitzone[.]ru зарегистрирован 2 сентября 2024 г. С этим доменом связаны несколько дополнительных, которые были зарегистрированы тем же атакующим (полный список тут).

Среди связанных доменов обнаружен домен min-trud-gov[.]ru, мимикрирующий под Минтруда России. Он вызывает особый интерес, поскольку был зарегистрирован относительно недавно и совпадает по легенде с приманкой из обнаруженной атаки. Есть высокая вероятность, что он будет использоваться злоумышленниками в ближайшее время для проведения новых вредоносных рассылок.

🤭 Подробности и индикаторы компрометации — в нашем новом блоге на Хабре.

BY Кибервойна





Share with your friend now:
group-telegram.com/cyberguerre/2352

View MORE
Open in Telegram


Telegram | DID YOU KNOW?

Date: |

Pavel Durov, Telegram's CEO, is known as "the Russian Mark Zuckerberg," for co-founding VKontakte, which is Russian for "in touch," a Facebook imitator that became the country's most popular social networking site. Given the pro-privacy stance of the platform, it’s taken as a given that it’ll be used for a number of reasons, not all of them good. And Telegram has been attached to a fair few scandals related to terrorism, sexual exploitation and crime. Back in 2015, Vox described Telegram as “ISIS’ app of choice,” saying that the platform’s real use is the ability to use channels to distribute material to large groups at once. Telegram has acted to remove public channels affiliated with terrorism, but Pavel Durov reiterated that he had no business snooping on private conversations. Right now the digital security needs of Russians and Ukrainians are very different, and they lead to very different caveats about how to mitigate the risks associated with using Telegram. For Ukrainians in Ukraine, whose physical safety is at risk because they are in a war zone, digital security is probably not their highest priority. They may value access to news and communication with their loved ones over making sure that all of their communications are encrypted in such a manner that they are indecipherable to Telegram, its employees, or governments with court orders. Continuing its crackdown against entities allegedly involved in a front-running scam using messaging app Telegram, Sebi on Thursday carried out search and seizure operations at the premises of eight entities in multiple locations across the country. "For Telegram, accountability has always been a problem, which is why it was so popular even before the full-scale war with far-right extremists and terrorists from all over the world," she told AFP from her safe house outside the Ukrainian capital.
from nl


Новая активность кибершпионов: MimiStick — подражатели или эволюция Sticky Werewolf?

 Кибервойна TG
Webview: 2352
Кибервойна.Telegram Webview
Кибервойна Telegram TG Channel
Telegram Updated:
Telegram Кибервойна
FROM American