Badacze firmy ESET wykryli kampanię spearphishingu wymierzoną w japońskie podmioty polityczne na kilka tygodni przed wyborami do Izby Radnych, a w trakcie tego procesu wykryli wcześniej nieopisane narzędzie do kradzieży danych uwierzytelniających MirrorFace
Badacze firmy ESET wykryli kampanię spearphishingu rozpoczętą w tygodniach poprzedzających atak Wybory do japońskiej Izby Radców w lipcu 2022 r. przez grupę APT, którą ESET Research śledzi jako MirrorFace. Kampania, którą nazwaliśmy Operacją LiberalFace, była wymierzona w japońskie podmioty polityczne; Nasze dochodzenie wykazało, że członkowie określonej partii politycznej byli szczególnie skupieni w tej kampanii. Firma ESET Research ujawniła szczegółowe informacje na temat tej kampanii i grupy APT, która za nią stoi Konferencja AVAR 2022 na początku tego miesiąca.
- Pod koniec czerwca 2022 r. firma MirrorFace rozpoczęła kampanię, którą nazwaliśmy Operacją LiberalFace, skierowaną do japońskich podmiotów politycznych.
- Do celów zostały wysłane wiadomości e-mail phishingowe zawierające flagowy backdoor grupy LODEINFO.
- LODEINFO był używany do dostarczania dodatkowego złośliwego oprogramowania, eksfiltracji danych uwierzytelniających ofiary oraz kradzieży dokumentów i wiadomości e-mail ofiary.
- Nieopisany wcześniej program wykradający dane uwierzytelniające, który nazwaliśmy MirrorStealer, został użyty w operacji LiberalFace.
- Firma ESET Research przeprowadziła analizę działań post-kompromitacyjnych, z której wynika, że zaobserwowane działania zostały przeprowadzone w sposób ręczny lub półręczny.
- Szczegóły dotyczące tej kampanii zostały udostępnione na stronie Konferencja AVAR 2022.
MirrorFace to chińskojęzyczny ugrupowanie cyberprzestępcze atakujące firmy i organizacje z siedzibą w Japonii. Chociaż istnieją pewne spekulacje, że ten aktor cyberprzestępczy może być powiązany z APT10 (Macnica, Kaspersky), firma ESET nie jest w stanie przypisać go do żadnej znanej grupy APT. Dlatego śledzimy go jako oddzielną jednostkę, którą nazwaliśmy MirrorFace. W szczególności dotyczy to MirrorFace i LODEINFO, własnego złośliwego oprogramowania wykorzystywanego wyłącznie przeciwko celom w Japonii zgłaszane jako atakujące media, firmy związane z obronnością, think tanki, organizacje dyplomatyczne i instytucje akademickie. Celem MirrorFace jest szpiegostwo i eksfiltracja interesujących plików.
Operację LiberalFace przypisujemy MirrorFace na podstawie następujących wskaźników:
- Zgodnie z naszą najlepszą wiedzą, złośliwe oprogramowanie LODEINFO jest wykorzystywane wyłącznie przez MirrorFace.
- Cele operacji LiberalFace pokrywają się z tradycyjnymi celami MirrorFace.
- Próbka złośliwego oprogramowania drugiego etapu LODEINFO skontaktowała się z serwerem C&C, który śledzimy wewnętrznie w ramach infrastruktury MirrorFace.
Jeden z e-maili phishingowych wysłanych w ramach operacji LiberalFace podszywał się pod oficjalny komunikat z działu PR określonej japońskiej partii politycznej, zawierający prośbę związaną z wyborami do Izby Radnych i został rzekomo wysłany w imieniu prominentnego polityka. Wszystkie e-maile phishingowe zawierały złośliwy załącznik, który po wykonaniu instalował LODEINFO na zaatakowanej maszynie.
Ponadto odkryliśmy, że MirrorFace używało wcześniej nieudokumentowanego złośliwego oprogramowania, które nazwaliśmy MirrorStealer, do kradzieży danych uwierzytelniających swojego celu. Uważamy, że jest to pierwszy publiczny opis tego złośliwego oprogramowania.
W tym poście na blogu omawiamy obserwowane działania po kompromitacji, w tym polecenia C&C wysyłane do LODEINFO w celu wykonania działań. Na podstawie pewnych czynności wykonanych na zaatakowanej maszynie uważamy, że operator MirrorFace wydał polecenia LODEINFO w sposób ręczny lub półręczny.
Wstępny dostęp
MirrorFace rozpoczął atak 29 czerwcath, 2022 r., dystrybucja do celów e-maili typu spearphishing ze złośliwym załącznikiem. Temat e-maila brzmiał SNS用動画 拡散のお願い (tłumaczenie z Tłumacza Google: [Ważne] Prośba o rozpowszechnianie filmów w serwisie SNS). Rysunek 1 i rysunek 2 przedstawiają jego zawartość.
Podając się za dział PR japońskiej partii politycznej, MirrorFace poprosił odbiorców o rozpowszechnianie załączonych filmów na ich własnych profilach w mediach społecznościowych (SNS – Social Network Service), aby jeszcze bardziej wzmocnić PR partii i zapewnić sobie zwycięstwo w Izbie Radnych. Ponadto e-mail zawiera jasne instrukcje dotyczące strategii publikacji filmów.
Ponieważ wybory do Izby Radnych odbyły się 10 lipcath, 2022, ten e-mail wyraźnie wskazuje, że MirrorFace szukał okazji do atakowania podmiotów politycznych. Ponadto konkretna treść wiadomości e-mail wskazuje, że celem ataków byli członkowie określonej partii politycznej.
MirrorFace wykorzystał również inny e-mail phishingowy w kampanii, którego załącznik nosił tytuł 【参考】220628発・選挙管理委員会宛文書(添書分).exe (tłumaczenie z Tłumacza Google: [Referencja] 220628 Dokumenty Ministerstwa do komisji administracji wyborczej (załącznik).exe). Załączony dokument będący wabikiem (pokazany na rysunku 3) odnosi się również do wyborów Izby Radnych.
W obu przypadkach e-maile zawierały złośliwe załączniki w postaci samorozpakowujących się archiwów WinRAR o zwodniczych nazwach. SNS用動画 拡散のお願い.exe (tłumaczenie z Tłumacza Google: Prośba o rozpowszechnianie filmów dla SNS.exe) i 【参考】220628発・選挙管理委員会宛文書(添書分).exe (tłumaczenie z Tłumacza Google: [Referencja] 220628 Dokumenty Ministerstwa do komisji administracji wyborczej (załącznik).exe) odpowiednio.
Te pliki EXE wyodrębniają zarchiwizowaną zawartość do pliku % Temp% teczka. W szczególności wyodrębniane są cztery pliki:
- K7SysMon.exe, nieszkodliwa aplikacja opracowana przez K7 Computing Pvt Ltd podatna na przechwytywanie kolejności wyszukiwania DLL
- K7SysMn1.dll, złośliwy program ładujący
- K7SysMon.Exe.db, zaszyfrowane złośliwe oprogramowanie LODEINFO
- Dokument wabika
Następnie dokument wabika jest otwierany, aby oszukać cel i wyglądać na łagodnego. Jako ostatni krok, K7SysMon.exe jest wykonywany, który ładuje złośliwy program ładujący K7SysMn1.dll spadł obok. Na koniec moduł ładujący odczytuje zawartość pliku K7SysMon.Exe.db, odszyfrowuje go, a następnie wykonuje. Należy zauważyć, że to podejście zostało również zaobserwowane przez firmę Kaspersky i opisane w ich artykule raport.
Zestaw narzędzi
W tej sekcji opisujemy złośliwe oprogramowanie MirrorFace wykorzystywane w operacji LiberalFace.
LODEINFO
LODEINFO to backdoor MirrorFace, który jest ciągle rozwijany. JPCERT poinformował o pierwszej wersji LODEINFO (v0.1.2), która pojawiła się około grudnia 2019 r.; jego funkcjonalność umożliwia przechwytywanie zrzutów ekranu, rejestrowanie klawiszy, zabijanie procesów, eksfiltrację plików oraz wykonywanie dodatkowych plików i poleceń. Od tego czasu zaobserwowaliśmy kilka zmian wprowadzanych do każdej z jej wersji. Na przykład wersja 0.3.8 (którą po raz pierwszy wykryliśmy w czerwcu 2020 r.) dodała polecenie ransom (które szyfruje określone pliki i foldery), a wersja 0.5.6 (którą wykryliśmy w lipcu 2021 r.) dodała polecenie config, co pozwala operatorom modyfikować jego konfigurację zapisaną w rejestrze. Oprócz wspomnianych wyżej raportów JPCERT, szczegółowa analiza backdoora LODEINFO została również opublikowana na początku tego roku przez Kaspersky.
Podczas Operacji LiberalFace zaobserwowaliśmy, że operatorzy MirrorFace wykorzystują zarówno zwykłe oprogramowanie LODEINFO, jak i to, co nazywamy złośliwym oprogramowaniem LODEINFO drugiej fazy. LODEINFO drugiego etapu można odróżnić od zwykłego LODEINFO, patrząc na ogólną funkcjonalność. W szczególności drugi etap LODEINFO akceptuje i uruchamia pliki binarne PE i kod powłoki poza zaimplementowanymi poleceniami. Ponadto LODEINFO drugiego stopnia może przetwarzać polecenia C&C config, ale funkcjonalność polecenia okup brakuje.
Wreszcie, dane otrzymane z serwera C&C różnią się między zwykłym LODEINFO a drugim etapem. W drugim etapie LODEINFO serwer C&C dodaje losową treść strony internetowej do rzeczywistych danych. Zobacz rysunek 4, rysunek 5 i rysunek 6, przedstawiające różnice w odebranych danych. Zwróć uwagę, że dołączony fragment kodu różni się dla każdego odebranego strumienia danych z drugiego etapu C&C.
Złodziej luster
MirrorStealer, nazwany wewnętrznie 31558_n.dll autorstwa MirrorFace to narzędzie do kradzieży danych uwierzytelniających. Według naszej najlepszej wiedzy to złośliwe oprogramowanie nie zostało publicznie opisane. Ogólnie rzecz biorąc, MirrorStealer kradnie dane uwierzytelniające z różnych aplikacji, takich jak przeglądarki i klienci poczty e-mail. Co ciekawe, jedną z docelowych aplikacji jest Becky!, klient poczty e-mail, który jest obecnie dostępny tylko w Japonii. Wszystkie skradzione dane uwierzytelniające są przechowywane w %TEMP%31558.txt a ponieważ MirrorStealer nie ma możliwości eksfiltracji skradzionych danych, jest to zależne od innego złośliwego oprogramowania.
Działania postkompromisowe
Podczas naszych badań byliśmy w stanie zaobserwować niektóre polecenia wydawane zaatakowanym komputerom.
Wstępna obserwacja środowiska
Gdy LODEINFO zostało uruchomione na zaatakowanych maszynach i pomyślnie połączyły się z serwerem C&C, operator zaczął wydawać polecenia (patrz rysunek 7).
Najpierw operator wydał jedno z poleceń LODEINFO, , aby przechwycić ekran zaatakowanej maszyny. Po tym nastąpiła kolejna komenda, ls, aby zobaczyć zawartość bieżącego folderu, w którym znajdowało się LODEINFO (tj. % Temp%). Zaraz po tym operator wykorzystał LODEINFO do uzyskania informacji o sieci poprzez uruchomienie widok netto i widok netto / domena. Pierwsze polecenie zwraca listę komputerów podłączonych do sieci, drugie zwraca listę dostępnych domen.
Kradzież danych uwierzytelniających i plików cookie przeglądarki
Po zebraniu tych podstawowych informacji operator przechodził do następnej fazy (patrz rysunek 8).
Operator wydał polecenie LODEINFO send z podkomendą -pamięć dostarczyć Złodziej luster złośliwego oprogramowania na zaatakowaną maszynę. Podkomenda -pamięć został użyty do wskazania LODEINFO, aby przechowywał MirrorStealer w jego pamięci, co oznacza, że plik binarny MirrorStealer nigdy nie został upuszczony na dysk. Następnie komenda pamięć zostało wydane. To polecenie poinstruowało LODEINFO, aby wziął MirrorStealer, wstrzyknął go do spawnu cmd.exe przetwarzać i uruchamiać.
Gdy MirrorStealer zebrał poświadczenia i zapisał je w %temp%31558.txt, operator użył LODEINFO do eksfiltracji poświadczeń.
Operator był również zainteresowany plikami cookie przeglądarki ofiary. Jednak MirrorStealer nie ma możliwości ich zbierania. Dlatego operator ręcznie eksfiltrował pliki cookie za pośrednictwem LODEINFO. Najpierw operator użył polecenia LODEINFO reż aby wyświetlić zawartość folderów %LocalAppData%GoogleChromeDane użytkownika i %LocalAppData%MicrosoftEdgeDane użytkownika. Następnie operator kopiuje wszystkie zidentyfikowane pliki cookies do pliku % Temp% teczka. Następnie operator eksfiltrował wszystkie zebrane pliki cookie za pomocą polecenia LODEINFO Odbierz. Ostatecznie operator usunął skopiowane pliki cookies z % Temp% folder w celu usunięcia śladów.
Kradzież dokumentów i wiadomości e-mail
W kolejnym kroku operator dokonał eksfiltracji różnego rodzaju dokumentów, a także przechowywanych wiadomości e-mail (patrz rysunek 9).
W tym celu operator najpierw wykorzystał LODEINFO do dostarczenia archiwizatora WinRAR (rar.exe). Za pomocą rar.exe, operator zebrał i zarchiwizował interesujące pliki, które zostały zmodyfikowane po 2022-01-01 z folderów %USERPROFILE% i C:$Recycle.Bin. Operatora interesowały wszystkie tego typu pliki z rozszerzeniami .dokument*, .ppt*, xls*, jtd, .eml, .*xps, . Pdf.
Zauważ, że oprócz typowych typów dokumentów, MirrorFace był również zainteresowany plikami z rozszerzeniem jtd rozbudowa. Reprezentuje dokumenty japońskiego edytora tekstu Ichitaro opracowany przez JustSystems.
Po utworzeniu archiwum operator dostarczył klienta Secure Copy Protocol (SCP) z PuTTY nieprzerwany (pscp.exe), a następnie użył go do eksfiltracji właśnie utworzonego archiwum RAR na serwer pod adresem 45.32.13[.]180. Ten adres IP nie został zaobserwowany w poprzedniej aktywności MirrorFace i nie był używany jako serwer C&C w żadnym zaobserwowanym przez nas złośliwym oprogramowaniu LODEINFO. Zaraz po eksfiltracji archiwum operator został usunięty rar.exe, pscp.exe, oraz archiwum RAR w celu wyczyszczenia śladów aktywności.
Wdrożenie drugiego etapu LODEINFO
Ostatnim obserwowanym przez nas krokiem było dostarczenie drugiego etapu LODEINFO (patrz rysunek 10).
Operator dostarczył następujące pliki binarne: JSESPR.dll, JsSchHlp.exe, vcruntime140.dll do zainfekowanej maszyny. Oryginalny JsSchHlp.exe jest łagodną aplikacją podpisaną przez JUSTSYSTEMS CORPORATION (twórców wspomnianego wcześniej japońskiego edytora tekstu, Ichitaro). Jednak w tym przypadku operator MirrorFace nadużył znanej weryfikacji podpisu cyfrowego firmy Microsoft problem i dołączył zaszyfrowane dane RC4 do pliku JsSchHlp.exe podpis cyfrowy. Ze względu na wspomniany problem system Windows nadal uważa zmodyfikowany JsSchHlp.exe być prawidłowo podpisany.
JsSchHlp.exe jest również podatny na boczne ładowanie bibliotek DLL. Dlatego po wykonaniu posadzone JSESPR.dll jest załadowany (patrz rysunek 11).
JSESPR.dll to złośliwy program ładujący, który odczytuje z dołączonego ładunku JsSchHlp.exe, odszyfrowuje go i uruchamia. Ładunkiem jest drugi etap LODEINFO, a po uruchomieniu operator wykorzystał zwykły LODEINFO do ustawienia trwałości dla drugiego etapu. W szczególności operator prowadził reg.exe narzędzie, aby dodać wartość o nazwie JsSchHlp do run klucz rejestru zawierający ścieżkę do JsSchHlp.exe.
Wydaje nam się jednak, że operatorowi nie udało się zmusić LODEINFO drugiego stopnia do prawidłowej komunikacji z serwerem C&C. W związku z tym dalsze kroki operatora korzystającego z drugiego stopnia LODEINFO pozostają nam nieznane.
Ciekawe obserwacje
Podczas dochodzenia poczyniliśmy kilka interesujących obserwacji. Jednym z nich jest to, że operator popełnił kilka błędów i literówek podczas wydawania poleceń do LODEINFO. Na przykład operator wysłał ciąg cmd /c katalog „c: użyj” do LODEINFO, co najprawdopodobniej miało być cmd /c katalog „c: użytkownicy”.
Sugeruje to, że operator wydaje polecenia LODEINFO w sposób ręczny lub półręczny.
Naszą następną obserwacją jest to, że chociaż operator wykonał kilka porządków w celu usunięcia śladów po kompromitacji, zapomniał usunąć %temp%31558.txt – dziennik zawierający skradzione dane uwierzytelniające. Tak więc przynajmniej ten ślad pozostał na zaatakowanej maszynie i pokazuje nam, że operator nie był dokładny w procesie czyszczenia.
Wnioski
MirrorFace nadal dąży do celów o wysokiej wartości w Japonii. W operacji LiberalFace celował w podmioty polityczne, wykorzystując zbliżające się wówczas wybory do Izby Radnych na swoją korzyść. Co ciekawsze, nasze odkrycia wskazują, że MirrorFace szczególnie koncentruje się na członkach określonej partii politycznej.
Podczas dochodzenia w ramach Operacji LiberalFace udało nam się wykryć dalsze ataki TTP MirrorFace, takie jak wdrażanie i wykorzystywanie dodatkowego złośliwego oprogramowania oraz narzędzi do gromadzenia i eksfiltracji cennych danych od ofiar. Co więcej, nasze dochodzenie wykazało, że operatorzy MirrorFace są nieco nieostrożni, zostawiają ślady i popełniają różne błędy.
Firma ESET Research oferuje również prywatne raporty analityczne APT i źródła danych. W przypadku jakichkolwiek pytań dotyczących tej usługi, odwiedź Analiza zagrożeń firmy ESET strona.
IoC
Akta
SHA-1 | Nazwa pliku | Nazwa wykrycia ESET | Opis |
---|---|---|---|
F4691FF3B3ACD15653684F372285CAC36C8D0AEF | K7SysMn1.dll | Win32/Agent.ACLP | Ładowarka LODEINFO. |
DB81C8719DDAAE40C8D9B9CA103BBE77BE4FCE6C | K7SysMon.Exe.db | N / A | Zaszyfrowane LODEINFO. |
A8D2BE15085061B753FDEBBDB08D301A034CE1D5 | JsSchHlp.exe | Win32/Agent.ACLP | JsSchHlp.exe z dołączonym zaszyfrowanym drugim etapem LODEINFO w katalog bezpieczeństwa. |
0AB7BB3FF583E50FBF28B288E71D3BB57F9D1395 | JSESPR.dll | Win32/Agent.ACLP | Ładowarka LODEINFO drugiego stopnia. |
E888A552B00D810B5521002304D4F11BC249D8ED | 31558_n.dll | Win32/Agent.ACLP | Złodziej danych uwierzytelniających MirrorStealer. |
Sieć
IP | Provider | Pierwszy widziany | Szczegóły |
---|---|---|---|
5.8.95[.]174 | G-Core Labs SA | 2022-06-13 | Serwer C&C LODEINFO. |
45.32.13[.]180 | AS-CHOOPA | 2022-06-29 | Serwer do eksfiltracji danych. |
103.175.16[.]39 | Gigabit Hosting Sdn Bhd | 2022-06-13 | Serwer C&C LODEINFO. |
167.179.116[.]56 | AS-CHOOPA | 2021-10-20 | www.ninesmn[.]com, drugi etap serwera LODEINFO C&C. |
172.105.217[.]233 | Linode, LLC | 2021-11-14 | www.aesorunwe[.]com, drugi etap serwera LODEINFO C&C. |
Techniki SKOŚNE ATT&CK
Ten stół został zbudowany przy użyciu wersja 12 frameworku MITER ATT&CK.
Należy zauważyć, że chociaż ten wpis na blogu nie zawiera pełnego przeglądu możliwości LODEINFO, ponieważ informacje te są już dostępne w innych publikacjach, poniższa tabela MITRE ATT&CK zawiera wszystkie powiązane z nią techniki.
Taktyka | ID | Imię | Opis |
---|---|---|---|
Wstępny dostęp | T1566.001 | Phishing: załącznik Spearphishing | Złośliwe archiwum WinRAR SFX jest dołączone do e-maila phishingowego. |
Egzekucja | T1106 | Natywny interfejs API | LODEINFO może uruchamiać pliki przy użyciu UtwórzProces A API. |
T1204.002 | Wykonanie użytkownika: Złośliwy plik | Operatorzy MirrorFace polegają na tym, że ofiara otwiera złośliwy załącznik wysłany pocztą e-mail. | |
T1559.001 | Komunikacja między procesami: komponentowy model obiektowy | LODEINFO może wykonywać polecenia poprzez Component Object Model. | |
Uporczywość | T1547.001 | Wykonywanie autostartu rozruchu lub logowania: klucze uruchamiania rejestru/folder startowy | LODEINFO dodaje wpis do pliku Bieg HKCU klucz do zapewnienia trwałości.
Zaobserwowaliśmy, że operatorzy MirrorFace ręcznie dodawali wpis do pliku Bieg HKCU klucz, aby zapewnić trwałość drugiego etapu LODEINFO. |
Unikanie obrony | T1112 | Zmodyfikuj rejestr | LODEINFO może przechowywać swoją konfigurację w rejestrze. |
T1055 | Proces wtrysku | LODEINFO może wstrzykiwać kod powłoki do cmd.exe. | |
T1140 | Rozszyfruj/dekoduj pliki lub informacje | Moduł ładujący LODEINFO odszyfrowuje ładunek za pomocą jednobajtowego XOR lub RC4. | |
T1574.002 | Przepływ wykonywania przejęcia: ładowanie z boku biblioteki DLL | MirrorFace ładuje LODEINFO z boku, usuwając złośliwą bibliotekę i legalny plik wykonywalny (np. K7SysMon.exe). | |
odkrycie | T1082 | Wykrywanie informacji o systemie | LODEINFO pobiera odcisk palca zaatakowanej maszyny. |
T1083 | Wykrywanie plików i katalogów | LODEINFO może uzyskać listę plików i katalogów. | |
T1057 | Wykrywanie procesów | LODEINFO może wyświetlić listę uruchomionych procesów. | |
T1033 | Właściciel systemu/wykrywanie użytkownika | LODEINFO może uzyskać nazwę użytkownika ofiary. | |
T1614.001 | Wykrywanie lokalizacji systemu: Wykrywanie języka systemu | LODEINFO sprawdza język systemu, aby upewnić się, że nie działa on na maszynie ustawionej na język angielski. | |
Collection | T1560.001 | Archiwizuj zebrane dane: Archiwizuj za pomocą narzędzia | Zaobserwowaliśmy, jak operatorzy MirrorFace archiwizują zebrane dane za pomocą archiwizatora RAR. |
T1114.001 | Zbieranie wiadomości e-mail: Lokalne gromadzenie wiadomości e-mail | Zaobserwowaliśmy, że operatorzy MirrorFace zbierali przechowywane wiadomości e-mail. | |
T1056.001 | Przechwytywanie danych wejściowych: Rejestrowanie klawiszy | LODEINFO wykonuje keylogger. | |
T1113 | screen Capture | LODEINFO może uzyskać zrzut ekranu. | |
T1005 | Dane z systemu lokalnego | Zaobserwowaliśmy, jak operatorzy MirrorFace zbierali i eksfiltrowali interesujące ich dane. | |
Dowodzenia i kontroli | T1071.001 | Protokół warstwy aplikacji: protokoły internetowe | LODEINFO używa protokołu HTTP do komunikacji ze swoim serwerem C&C. |
T1132.001 | Kodowanie danych: kodowanie standardowe | LODEINFO używa standardu base64 bezpiecznego dla adresów URL do kodowania ruchu C&C. | |
T1573.001 | Szyfrowany kanał: kryptografia symetryczna | LODEINFO używa AES-256-CBC do szyfrowania ruchu C&C. | |
T1001.001 | Zaciemnianie danych: śmieciowe dane | Drugi etap LODEINFO C&C dodaje śmieci do wysyłanych danych. | |
Exfiltracja | T1041 | Eksfiltracja przez kanał C2 | LODEINFO może eksfiltrować pliki na serwer C&C. |
T1071.002 | Protokół warstwy aplikacji: protokoły przesyłania plików | Zaobserwowaliśmy działanie MirrorFace przy użyciu protokołu Secure Copy Protocol (SCP) w celu eksfiltracji zebranych danych. | |
Rezultat | T1486 | Dane zaszyfrowane pod kątem wpływu | LODEINFO może szyfrować pliki na komputerze ofiary. |
- blockchain
- pomysłowość
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- Badania ESET
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- Żyjemy w bezpieczeństwie
- zabezpieczenia stron internetowych
- zefirnet