Кибервойна

Forwarded from F.A.C.C.T. Борьба с киберпреступностью

Новая активность кибершпионов: MimiStick — подражатели или эволюция Sticky Werewolf?

Давайте разбираться. Для начала сравним изображения.

⬅️ Слева — документ-приманка из мартовской атаки кибергруппы Sticky Werewolf.
➡️ Справа — приманка из свежей сентябрьской атаки.

🤭 Внешне они похожи, но совокупность тактик, техник, процедур (TTP) и инфраструктурные особенности указывают на то, что за атакой может стоять другой злоумышленник. Наши эксперты F.A.C.C.T. Threat Intelligence назвали его MimiStick.

⚙ Как протекает атака

☀После открытия приманки нагрузка запускает содержащийся в себе зашифрованный шеллкод.
☀Нагрузка — стэйджер, который загружает и запускает вторую стадию с удаленного узла. В качестве второй стадии используется Sliver implant c С2: techitzone[.]ru:443.
☀Домен techitzone[.]ru зарегистрирован 2 сентября 2024 г. С этим доменом связаны несколько дополнительных, которые были зарегистрированы тем же атакующим (полный список тут).

⚡Среди связанных доменов обнаружен домен min-trud-gov[.]ru, мимикрирующий под Минтруда России. Он вызывает особый интерес, поскольку был зарегистрирован относительно недавно и совпадает по легенде с приманкой из обнаруженной атаки. Есть высокая вероятность, что он будет использоваться злоумышленниками в ближайшее время для проведения новых вредоносных рассылок.

🤭 Подробности и индикаторы компрометации — в нашем новом блоге на Хабре.

Please open Telegram to view this post

VIEW IN TELEGRAM

www.group-telegram.com/no/cyberguerre.com/2352

941 viewsSep 26 at 15:06

Новая активность кибершпионов: MimiStick — подражатели или эволюция Sticky Werewolf?

Давайте разбираться. Для начала сравним изображения.

⬅️ Слева — документ-приманка из мартовской атаки кибергруппы Sticky Werewolf.
➡️ Справа — приманка из свежей сентябрьской атаки.

🤭 Внешне они похожи, но совокупность тактик, техник, процедур (TTP) и инфраструктурные особенности указывают на то, что за атакой может стоять другой злоумышленник. Наши эксперты F.A.C.C.T. Threat Intelligence назвали его MimiStick.

⚙ Как протекает атака

☀После открытия приманки нагрузка запускает содержащийся в себе зашифрованный шеллкод.
☀Нагрузка — стэйджер, который загружает и запускает вторую стадию с удаленного узла. В качестве второй стадии используется Sliver implant c С2: techitzone[.]ru:443.
☀Домен techitzone[.]ru зарегистрирован 2 сентября 2024 г. С этим доменом связаны несколько дополнительных, которые были зарегистрированы тем же атакующим (полный список тут).

⚡Среди связанных доменов обнаружен домен min-trud-gov[.]ru, мимикрирующий под Минтруда России. Он вызывает особый интерес, поскольку был зарегистрирован относительно недавно и совпадает по легенде с приманкой из обнаруженной атаки. Есть высокая вероятность, что он будет использоваться злоумышленниками в ближайшее время для проведения новых вредоносных рассылок.

🤭 Подробности и индикаторы компрометации — в нашем новом блоге на Хабре.