TTL OSINT
УПРАВЛЯЙТЕ РИСКАМИ — НЕ ЖДИТЕ АТАК
Пентест для устойчивости и соответствия требованиям
Реалистичная проверка внешнего периметра: выявляем уязвимости до злоумышленников и подтверждаем готовность вашего бизнеса к киберугрозам.
ПротестироватьТехнический анализ новой платформы IMEEX
Платформа IMEEX - это недавно обнаруженная вредоносная программа, созданная на заказ и предназначенная для систем Windows. Она поставляется в виде 64-разрядной библиотеки DLL и предоставляет злоумышленникам широкий контроль над скомпрометированными компьютерами. Платформа отличается своими широкими возможностями, включая запуск дополнительных модулей, манипулирование файлами, управление процессами, модификацию реестра и удаленное выполнение команд. Она также выполняет системную разведку, собирая важную системную информацию и передавая ее на свой сервер управления (C2). Вредоносная программа в первую очередь нацелена на Джибути, а менее эффективный вариант, по-видимому, нацелен на Афганистан. Источник заражения неясен, но поведение вредоносной программы позволяет предположить, что она является частью тщательно спланированной кампании по атаке, направленной на поддержание постоянства и предотвращение обнаружения с помощью передовых методов, таких как маскировка под законные процессы, создание мьютекса и зашифрованные сообщения с сервером C2. Есть признаки повторного использования инфраструктуры в ShadowPad, модульной платформе для вредоносных программ, которая продается в частном порядке и используется несколькими китайскими группами злоумышленников, что указывает на возможную эволюцию тактики. Основные функциональные возможности платформы IMEEX включают разведку системы, сбор данных, динамическую загрузку модулей и запуск дополнительных модулей. Он использует мьютекс, чтобы гарантировать запуск только одного экземпляра в зараженной системе, и использует динамических поставщиков DNS для своих серверов управления. Платформа поддерживает широкий спектр команд, обеспечивая всесторонний контроль над зараженными системами, и может создавать, обновлять и удалять значения реестра для поддержания постоянства и управления выполнением модуля. Он взаимодействует с сервером C2, используя определенные форматы пакетов как для запросов, так и для ответов, и использует контрольную сумму для обеспечения целостности данных. Платформа IMEEX очень универсальна для удаленного администрирования и выполнения вредоносных задач.
Ссылка:https://intezer.com/blog/research/technical-analysis-of-a-novel-imeex-framework/
Выборочные показатели Compromise:
- https://intezer.com/blog/research/technical-analysis-of-a-novel-imeex-framework/
- intezer.com
- 38.60.200.224
- 103.151.229.184
- 7d02ad54e4e56f34e59414f9b02397901fc61bb1158a31ab2586fe62564aeb93
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.
CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал
ПОВЫСЬТЕ КОМПЕТЕНЦИИ КОМАНДЫ
Бесплатное обучение по SC SIEM
Даем знания и навыки для эффективной работы.
Начать обучение
