Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

MimiStick копирует тактику Sticky Werewolf для атак на российские предприятия

26/09/24

hack38-Sep-26-2024-10-25-36-5311-AM

Специалисты компании F.A.C.C.T. Threat Intelligence выявили новую кибератаку, нацеленную на предприятия оборонно-промышленного комплекса России. Злоумышленники использовали вредоносный файл «17_09_2024.msc», замаскированный под письмо от Министерства труда РФ, пишет Securitylab.

Изначально эксперты предположили, что за атакой стоит известная группа киберпреступников Sticky Werewolf, ранее использовавшая похожие методы. Однако дальнейший анализ показал, что атака проводится новой группой, получившей название MimiStick.

При открытии файла «17_09_2024.msc» запускается серия команд, извлекающих упакованное содержимое. В результате создается файл %localappdata%\xrks.t с командным файлом внутри. Далее выполняются команды для обнаружения упакованной нагрузки в конце bat-файла. Нагрузка представляет собой base64-строку, начинающуюся с подстроки «VqQAAMAAAAEAAAA//8AALgAA». Нагрузка декодируется и сохраняется в файл %Temp%\xkiq.txt.

Затем она переименовывается в %Temp%\wqhe.exe, удаляется исходный файл th.txt, а файл wqhe.exe запускается.

Нагрузка содержит в ресурсах PDF-приманку, которая сохраняется как %Temp%\17_09_2024_0.pdf и открывается. Содержимое приманки схоже с документами, использованными группой Sticky Werewolf в марте 2024 года.

fsedewtxbbaetwufaxqndg37b5ou4er6

 

После открытия приманки нагрузка запускает зашифрованный шеллкод. Она является стэйджером, загружающим и запускающим вторую стадию с удаленного узла. В качестве второй стадии используется Sliver implant с C2: techitzone[.]ru:443.

Домен techitzone[.]ru был зарегистрирован 2 сентября 2024 года. Эксперты F.A.C.C.T. обнаружили несколько дополнительных доменов, связанных с атакующим:

  • about-tech[.]ru (зарегистрирован 07.12.2023)
  • orkprank[.]ru (зарегистрирован 18.06.2024)
  • borosan[.]ru (зарегистрирован 15.07.2024)
  • mysafer[.]ru (зарегистрирован 05.07.2024)
  • rtxcore[.]ru (зарегистрирован 02.09.2024)
  • min-trud-gov[.]ru (зарегистрирован 23.09.2024)

Особый интерес вызывает домен min-trud-gov[.]ru, имитирующий домен Министерства труда России. Он был зарегистрирован недавно и соответствует легенде приманки из сентябрьской атаки. Эксперты предполагают, что этот домен может быть использован в ближайшее время для проведения фишинговых рассылок.

Темы:УгрозыМинтрудвоенное оборудованиеподдельные документыF.A.C.C.T.
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

  • XDR-центричный подход для SOC
    Ярослав Каргалёв, руководитель Центра кибербезопасности F.A.C.C.T.
    Основная цель современного SOC – не только своевременно выявить угрозу, но и нейтрализовать ее до момента реализации. В контексте работы аналитиков SOC возможности XDR (Extended Detection and Response) можно условно разделить на две взаимосвязанные составляющие.
  • Attack Surface Management: с чего начинать управление уязвимостями
    Николай Степанов, руководитель направления F.A.C.C.T. Attack Surface Management
    Attack Surface Management – относительно молодой продукт, он появился в 2021 г. В его основе лежит более ранняя разработка инженеров F.A.C.C.T. – граф сетевой инфраструктуры, который показывает связь между доменами, IP-адресами, сервер-сертификатами, злоумышленниками, ВПО и другими цифровыми сущностями в глобальном Интернете.
  • Cyber Defence Center: лучше и эффективнее традиционных SOC
    Ярослав Каргалёв, руководитель Центра кибербезопасности F.A.C.C.T.
    Cyber Defence Center, который является новым поколением SOC, сами проводят реагирование на инциденты и ведут проактивный поиск киберугроз в инфраструктуре
  • Расширения для браузеров: удобный инструмент или ворота для хакеров?
    Ксения Рысаева, Руководитель группы аналитики Центра противодействия киберугрозам Innostage CyberART
    Расширения для браузеров и недостаточное внимание к ним со стороны администраторов усиливают риски возникновения угроз для компаний

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...