TTL OSINT
УПРАВЛЯЙТЕ РИСКАМИ — НЕ ЖДИТЕ АТАК
Пентест для устойчивости и соответствия требованиям
Реалистичная проверка внешнего периметра: выявляем уязвимости до злоумышленников и подтверждаем готовность вашего бизнеса к киберугрозам.
ПротестироватьРазоблачение цикуты: новая группа угроз использует кампанию cluster bomb для распространения вредоносного ПО
Unfurling Hemlock - это группа злоумышленников, которая с начала 2023 года использует кампанию "кассетная бомба" для распространения вредоносных программ. В кампании участвуют десятки тысяч образцов, каждый из которых содержит до семи вложенных файлов вредоносных программ или утилит. Вредоносные программы, в первую очередь такие, как Redline, RisePro и Mystic Stealer, а также загрузчики, такие как Amadey и SmokeLoader, распространяются с использованием технологии, при которой один образец, называемый "WEXTRACT.EXE", при заражении своих жертв распространяет несколько образцов вредоносного ПО. Кампания отличается тщательностью, поскольку в ней используются утилиты, предназначенные для успешной борьбы с заражением, и, как было замечено, за каждое заражение выплачивается вознаграждение. Группа, вероятно, базируется в Восточной Европе и использует различные каналы распространения, включая легально выглядящие исполняемые файлы и сжатые файлы. Кампания развивалась с течением времени, и последние примеры включают такие инструменты, как Enigma, упаковщик, используемый для обфускации вредоносных программ, и утилиты, которые используют встроенные средства Windows для сбора статистической информации о жертвах.
Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.
Ссылка:https://outpost24.com/blog/unfurling-hemlock-cluster-bomb-campaign/
Выборочные показатели Compromise:
- http://77.91.68.21/nova/foxi.exe
- http://109.107.182.45/red/line.exe
- 20.79.30.95
- http://185.46.46.146/none/vah50.exe
- 301a1c9f4e82fc8f57577ea399a2591557ff57d337472c3f8482a89c5b4105d5
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.
CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал
