x
Защитить Аттестовать Обследовать ЗОКИИ ГИСИСПДн
Защитить данные
Поиск Киберразведка

SECURITY CAPSULE SIEM

Познакомьтесь с нашим решением по мониторингу событий
и выявлению инцидентов информационной безопасности

SC SIEM выигрывает там, где важна скорость, минимальные ресурсы и возможность быстро создать правила корреляции

ВЫБИРАЙТЕ СТРАТЕГИЮ БЕЗОПАСНОСТИ –

Экспертное проектирование систем информационной безопасности для устойчивости и соответствия требованиям государства

Мы превращаем требования регуляторов в управляемый процесс, снижаем риски утечек и обеспечиваем предсказуемость для бизнеса.

TTL OSINT

УПРАВЛЯЙТЕ РИСКАМИ — НЕ ЖДИТЕ АТАК

Пентест для устойчивости и соответствия требованиям

Реалистичная проверка внешнего периметра: выявляем уязвимости до злоумышленников и подтверждаем готовность вашего бизнеса к киберугрозам.

Протестировать
16.08.2024 185 2 мин.

Вредоносный установщик Falcon Crash Reporter, защищающий от сбоев, предоставляет агент Mythic C2 на базе LLVM с именем Ciro

24 июля 2024 года злоумышленник распространил защищенный паролем установщик, замаскированный под неаутентичный установщик Falcon Crash Reporter, среди немецкой компании в рамках попытки фишинга. Программа установки, запущенная с использованием предоставленного пароля, приводит к новой цепочке выполнения, в которой агент, записанный в Mythic command-and-control (C2) framework, выполняется как битовый код промежуточного представления (IR) LLVM с использованием интерпретатора LLVM, включенного в архив программы установки. Атака, скорее всего, целенаправленная и изощренная, а ее исполнитель демонстрирует высокий уровень осведомленности об OPSEC и методах социальной инженерии. Агент по имени Ciro собирает и форматирует системную информацию и отправляет ее на сервер C2 с помощью HTTP-запроса GET. Чтобы защититься от этой активности, рекомендуется выполнить приведенные рекомендации и обратиться к приложению, в котором приведены правила YARA, запросы Falcon LogScale, индикаторы компрометации (IOCs) и сопоставление MITRE ATTCK, относящиеся к этой угрозе.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://www.crowdstrike.com/blog/malicious-inauthentic-falcon-crash-reporter-installer-ciro-malware/

Выборочные показатели Compromise:

  • csmon.westeurope.cloudapp.azure.com
  • 4bc4b1381c0b99185b148d4a1edbd74730020b30a3541856c43d22a56e8782a9
  • 05d700c67e18358ee4e6c1c3e95c8c4ad687d96fc531aff7a5b07f3dbda8e14b
  • 82ef869e8f7accde731f8c289f19436347a30af1d53c8f61bde5bac8bc91ad1a
  • https://docs.mythic-c2.net
Новость дополняется...
Источник: TTL OSINT

Следите за киберугрозами вместе с экспертами CRATU!
Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал

Возврат к списку

ПОВЫСЬТЕ КОМПЕТЕНЦИИ КОМАНДЫ

Бесплатное обучение по SC SIEM

Даем знания и навыки для эффективной работы.

Начать обучение

ПОСЛЕДНИЕ НОВОСТИ