Go Back   Carder.life > [ru] Forum for Russians > Новости мирового кардинга
Reload this Page Ранее неизвестное вымогательское ПО нацелено на поставщиков вооружения для Украины

CARDER.MARKET - CARDING FORUM FOR PROFESSIONAL CARDERS


 
 
Thread Tools Display Modes
Prev Previous Post   Next Post Next
  #1  
Old 05-09-2025, 09:37 PM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default

Злоумышленники используют 3 способа заражения компаний из Восточной Европы.
В середине октября исследователи Microsoft Threat Intelligence Center (MSTIC) обнаружили ранее неизвестную программу-вымогатель под названием Prestige, которая использовалась для атак на организации в транспортной и логистической отраслях в Украине и Польше .
Программа-вымогатель Prestige впервые была обнаружена 11 октября в виде атак, которые происходили с интервалом в 1 час друг от друга для всех жертв. Примечательной особенностью этой кампании является то, что злоумышленники не пытаются внедрить программы-вымогатели в сети украинских предприятий.
MSTIC приписала кампанию группе кибершпионажа Sandworm. Исследователи наблюдали за инфраструктурой C&C-серверов, основанной на динамических DNS-доменах, маскирующихся под украинских поставщиков телекоммуникационных услуг. Microsoft приписала атаки Sandworm, основываясь на криминалистических артефактах, совпадениях жертв, TTPs и инфраструктуре группы.
По словам MSTIC, кампания Prestige нацелена на организации, поставляющие гуманитарную или военную помощь Украине. Другими словами, под угрозой множество компаний в Восточной Европе.
Злоумышленники использовали 3 способа развертывания программы-вымогателя Prestige:
  • Полезная нагрузка программы-вымогателя копируется в общую папку «ADMIN$» удаленной системы, а инструмент разведки «Impacket» используется для удаленного создания запланированной задачи Windows для выполнения полезной нагрузки.

  • Полезная нагрузка Prestige копируется в общую папку «ADMIN$», а «Impacket» используется для удаленного вызова закодированной PowerShell-команды для выполнения полезной нагрузки.

  • Полезная нагрузка Prestige копируется на контроллер домена Active Directory и развертывается в системе с использованием объекта групповой политики домена по умолчанию.


С августа 2022 года исследователи из Recorded Future наблюдали развитие C&C-инфраструктуры Sandworm, которая перешла на динамические DNS-домены, маскирующиеся под украинских поставщиков телекоммуникационных услуг. По словам специалистов, отслеживающих деятельность группировки, последние вредоносные кампании направлены на заражение критически важных украинских систем вредоносными Colibri Loader и Warzone RAT.
 

Tags
NULL

« Previous Thread | Next Thread »
Thread Tools
Display Modes
Threaded Mode Threaded Mode

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is On
Forum Jump




All times are GMT. The time now is 07:56 PM.

Contact Us - Carder.life - Archive - Top