- 9,413
- 18
- 8 Ноя 2022
Злоумышленники используют 3 способа заражения компаний из Восточной Европы.
В середине октября исследователи Microsoft Threat Intelligence Center (MSTIC) обнаружили ранее неизвестную программу-вымогатель под названием Prestige, которая использовалась для атак на организации Для просмотра ссылки Войди
Программа-вымогатель Prestige Для просмотра ссылки Войди
MSTIC приписала кампанию Для просмотра ссылки Войди
По словам MSTIC, кампания Prestige нацелена на организации, поставляющие гуманитарную или военную помощь Украине. Другими словами, под угрозой множество компаний в Восточной Европе.
Злоумышленники использовали 3 способа развертывания программы-вымогателя Prestige:
- Полезная нагрузка программы-вымогателя копируется в общую папку «ADMIN$» удаленной системы, а инструмент разведки «Impacket» используется для удаленного создания запланированной задачи Windows для выполнения полезной нагрузки.
- Полезная нагрузка Prestige копируется в общую папку «ADMIN$», а «Impacket» используется для удаленного вызова закодированной PowerShell-команды для выполнения полезной нагрузки.
- Полезная нагрузка Prestige копируется на контроллер домена Active Directory и развертывается в системе с использованием объекта групповой политики домена по умолчанию.
С августа 2022 года исследователи из Recorded Future наблюдали развитие C&C-инфраструктуры Sandworm, которая перешла на динамические DNS-домены, маскирующиеся под украинских поставщиков телекоммуникационных услуг. По словам специалистов, отслеживающих деятельность группировки, Для просмотра ссылки Войди
- Источник новости
- https://www.securitylab.ru/news/534746.php
