😲 Да кто такие эти ваши PhaseShifters?

В начале июня 2024 года специалисты департамента Threat Intelligence выявили новую цепочку атаки PhaseShifters.

✍️ PhaseShifters (Sticky Werewolf, UAC-0050 ❓) — хакерская группировка, занимающаяся шпионажем, атаки которой направлены на различные отрасли стран Восточной Европы, в том числе на государственные учреждения, сферу экономики и промышленности.

В своих атаках группировка использует фишинг: злоумышленники отправляют письма якобы от официальных лиц с просьбой ознакомиться с документом и подписать его. Документ находится во вложении внутри защищенного паролем архива. В качестве ВПО злоумышленники используют Rhadamanthys, DarkTrack RAT, Meta Stealer и другие.

🔍 Мы наблюдаем высокую активность группировки с весны 2023 года и уже тогда заметили одну странную деталь. Дело в том, что атаки группировки PhaseShifters по техникам идентичны атакам другой группировки — UAC-0050. Более того, атаки проходят с небольшим временным промежутком, то есть группировки одинаково атакуют с разницей в несколько недель — месяц.

На данный момент мы склоняемся к тому, что UAC-0050 и PhaseShifters — это одна и та же группировка, но убедиться в этом можно будет только после более длительного наблюдения.

⚠️ И это случилось снова....

Летом этого года обе группировки начали использовать идентичные паттерны в своих атаках. Дошло даже до того, что ВПО группировок располагалось в одном и том же репозитории BitBucket. Это заставило нас углубиться в эту тему.

📰 Какая атака обнаружена, какие сходства мы увидели, кого атаковали, а также при чем здесь TA558 и бразильские обфускаторы и криптеры — все это вы можете узнать в нашей статье.

#TI #Hunt #Malware #APT
@ptescalator

✋🤚 Как вывести свое решение на новый уровень? Рассказываем на примере MaxPatrol SIEM.

Шаг за шагом наш продукт обретал новую технологичность. Иван Прохоров и Роман Сергеев из команды развития MaxPatrol SIEM вели летопись важных изменений в продукте и опубликовали ее в нашем блоге на Хабре.

Коллеги достаточно подробно, а главное — интересно, рассказали:

⚪️ как мы ушли от кроссплатформенности и поставили решение на линуксовые рельсы;

⚪️ почему мы отказались от сторонних СУБД для хранения данных и сшили на заказ разработали собственную;

⚪️ как система научилась видеть инфраструктуру, разбросанную во многих часовых поясах;

⚪️ почему мы пишем детекты сами с чистого листа, а не используем общедоступные;

⚪️ каким образом получается снижать требования MaxPatrol SIEM к «железу», не теряя экспертизы;

⚪️ за что в продукте отвечают ML-модули;

⚪️ зачем поддерживать облачные источники.

👉 Больше подробностей ищите в статье

#MaxPatrolSIEM
@Positive_Technologies