Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Ранее неизвестное вымогательское ПО нацелено на поставщиков вооружения для Украины (http://txgate.io:443/showthread.php?t=11182)

Artifact 05-09-2025 09:37 PM

Злоумышленники используют 3 способа заражения компаний из Восточной Европы.
В середине октября исследователи Microsoft Threat Intelligence Center (MSTIC) обнаружили ранее неизвестную программу-вымогатель под названием Prestige, которая использовалась для атак на организации в транспортной и логистической отраслях в Украине и Польше .
Программа-вымогатель Prestige впервые была обнаружена 11 октября в виде атак, которые происходили с интервалом в 1 час друг от друга для всех жертв. Примечательной особенностью этой кампании является то, что злоумышленники не пытаются внедрить программы-вымогатели в сети украинских предприятий.
MSTIC приписала кампанию группе кибершпионажа Sandworm. Исследователи наблюдали за инфраструктурой C&C-серверов, основанной на динамических DNS-доменах, маскирующихся под украинских поставщиков телекоммуникационных услуг. Microsoft приписала атаки Sandworm, основываясь на криминалистических артефактах, совпадениях жертв, TTPs и инфраструктуре группы.
По словам MSTIC, кампания Prestige нацелена на организации, поставляющие гуманитарную или военную помощь Украине. Другими словами, под угрозой множество компаний в Восточной Европе.
Злоумышленники использовали 3 способа развертывания программы-вымогателя Prestige:<ul><li>Полезная нагрузка программы-вымогателя копируется в общую папку «ADMIN$» удаленной системы, а инструмент разведки «Impacket» используется для удаленного создания запланированной задачи Windows для выполнения полезной нагрузки.</li>
</ul><ul><li>Полезная нагрузка Prestige копируется в общую папку «ADMIN$», а «Impacket» используется для удаленного вызова закодированной PowerShell-команды для выполнения полезной нагрузки.</li>
</ul><ul><li>Полезная нагрузка Prestige копируется на контроллер домена Active Directory и развертывается в системе с использованием объекта групповой политики домена по умолчанию.</li>
</ul>https://www.securitylab.ru/upload/im...t-img(741).png
С августа 2022 года исследователи из Recorded Future наблюдали развитие C&amp;C-инфраструктуры Sandworm, которая перешла на динамические DNS-домены, маскирующиеся под украинских поставщиков телекоммуникационных услуг. По словам специалистов, отслеживающих деятельность группировки, последние вредоносные кампании направлены на заражение критически важных украинских систем вредоносными Colibri Loader и Warzone RAT.


All times are GMT. The time now is 05:40 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.