TTL OSINT
УПРАВЛЯЙТЕ РИСКАМИ — НЕ ЖДИТЕ АТАК
Пентест для устойчивости и соответствия требованиям
Реалистичная проверка внешнего периметра: выявляем уязвимости до злоумышленников и подтверждаем готовность вашего бизнеса к киберугрозам.
ПротестироватьБорьба с Медведицей, заманивающей Цели автомобилем на продажу
В этой статье рассматривается фишинговая кампания, проведенная российским агентом по борьбе с угрозами Ursa, также известным как APT28, Fancy Bear и Sofacy. Кампания началась в марте 2024 года и была нацелена на дипломатов, замаскировав вредоносную HTML-страницу под рекламу автомобиля для продажи, которая была размещена на законном сервисе под названием Webhook.site. HTML-страница проверяла, работает ли компьютер посетителя на базе Windows, и перенаправляла пользователей, не использующих Windows, на изображение-приманку. Конечной полезной нагрузкой кампании был файл на базе Windows с именем IMG-387470302099.jpg.exe, который блокировал вредоносную программу Headless backdoor. Бэкдор является модульным и выполняется поэтапно, что затрудняет его обнаружение. В статье делается вывод о том, что Fighting Ursa часто использует общедоступные и бесплатные сервисы в своей инфраструктуре для атак и, вероятно, продолжит это делать. Чтобы защититься от подобных атак, организациям следует ограничить доступ к этим сервисам хостинга и тщательно изучить их использование для выявления потенциальных векторов атак. Клиенты Palo Alto Networks защищены от этих угроз с помощью своих решений для сетевой безопасности и линейки продуктов Cortex. Если организации подозревают компрометацию, им следует обратиться в службу реагирования на инциденты Unit 42.
Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, предназначенного для более быстрой интеграции статей с открытым исходным кодом в клиентские среды. Все заслуги и авторские права принадлежат авторам оригинала.
Ссылка: https://unit42.paloaltonetworks.com/fighting-ursa-car-for-sale-phishing-lure/
Примеры признаков компрометации:
- a06d74322a8761ec8e6f28d134f2a89c7ba611d920d080a3ccbfac7c3b61e2e7
- 7c85ff89b535a39d47756dfce4597c239ee16df88badefe8f76051b836a7cbfb
- 6b96b991e33240e5c2091d092079a440fa1bef9b5aecbf3039bf7c47223bdf96
- https://webhook.site/d290377c-82b5-4765-acb8-454edf6425dd
- cda936ecae566ab871e5c0303d8ff98796b1e3661885afd9d4690fc1e945640e
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.
CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал
НКЦКИ (ГосСОПКА):
Соблюдайте требования государства — защищайте бизнес
Подключение к НКЦКИ — это гарантия соответствия 187-ФЗ.
Подключиться