#ParsedReport #ExtractedSchema

Classified images:
windows: 3, code: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT28 (UAC-0001) нацелен на Украину с помощью вредоносной программы LameHug, использующей большую языковую модель для выполнения команд на естественном языке. Вредоносная программа автоматизирует разведку и эксфильтрацию данных, используя SFTP или HTTP POST для передачи файлов на серверы, контролируемые злоумышленниками, что подчеркивает важность раннего обнаружения и структурированных стратегий защиты.
-----

Конфликт между Россией и Украиной проявляется не только на полях сражений, но и во все более изощренной кибервойне, когда российские хакеры настойчиво атакуют украинские компании. Одна известная группа, APT28 (также известная как UAC-0001 или Forest Blizzard), внедрила новую вредоносную программу под названием LameHug. Согласно отчету CERT-UA, APT28 недавно инициировала целенаправленную атаку на сектора безопасности и обороны Украины. Эта атака началась с фишингового электронного письма со взломанного правительственного аккаунта, содержащего ZIP-архив, содержащий вредоносный исполняемый файл, замаскированный под расширение .pif, разработанный с использованием PyInstaller из Python code.

Вредоносная программа LameHug особенно интересна, поскольку, как утверждается, представляет собой первый пример использования хакерами большой языковой модели (LLM) для расширения своих возможностей. Он использует модель Qwen 2.5-Coder-32B-Instruct через API Hugging Face, что позволяет ему преобразовывать текстовые инструкции на естественном языке в исполняемые системные команды на взломанном компьютере. На практике LameHug автоматизирует сложные задачи, проводя системную разведку путем выполнения команд для сбора информации об оборудовании, процессах, сервисах, сетевых подключениях и даже способствуя краже данных. Собранная информация хранится в файле с надписью info.txt в каталоге ProgramData, и вредоносная программа сканирует различные пользовательские каталоги (документы, рабочий стол, загрузки) в поисках файлов для последующей фильтрации, используя запросы SFTP или HTTP POST для передачи данных в инфраструктуру, контролируемую злоумышленником.

CERT-UA также выявил дополнительные варианты LameHug, в частности AI_generator_uncensored_Canvas_PRO_v0.9.exe и image.py, которые демонстрируют различные методы эксфильтрации. С точки зрения стратегий защиты, раннее обнаружение имеет первостепенное значение для смягчения последствий таких атак. Аналитики могут использовать источники журналов, такие как Windows Sysmon, для отслеживания подозрительных разведывательных действий, в частности, с файлами, созданными LameHug. Можно выполнять запросы для обнаружения использования встроенных утилит Windows для разведки и выявления исходящих подключений к известным конечным точкам службы LLM. Индикаторы компрометации (IOCS), используемые CERT-UA, могут дополнительно помочь в обнаружении присутствия LameHug, включая конкретные хэши вредоносных файлов и необычные строки пользовательского агента.

Поскольку ландшафт угроз продолжает изменяться, операции по обеспечению безопасности требуют гибкого подхода, учитывающего контекст, автоматизацию и точность. Для противодействия фишинговым кампаниям APT28, нацеленным на ключевые организации в Украине, жизненно важны структурированные схемы расследования и реагирования. К ним относятся подробные методы криминалистической проверки для тщательного изучения и устранения вредоносных электронных писем, а также использование Osquery для отслеживания скомпрометированных систем в режиме реального времени. Дополнительные инструкции помогают отслеживать и удалять вредоносные файлы, обнаруживать коммуникации с серверами управления и изолировать скомпрометированные хосты, чтобы предотвратить несанкционированные перемещения.

#ParsedReport #CompletenessLow
30-07-2025

Behind Random Words: DoubleTrouble Mobile Banking Trojan Revealed

https://zimperium.com/blog/behind-random-words-doubletrouble-mobile-banking-trojan-revealed

Report completeness: Low

Threats:
Doubletrouble
Jsonpacker_tool

Industry:
Financial

TTPs:
Tactics: 8
Technics: 13

IOCs:
File: 4

Soft:
Discord, Android, Google Play

Algorithms:
base64

Links:
have more...
https://github.com/aritraroy/PatternLockView
https://github.com/Zimperium/IOC/tree/master/2025-07-DoubleTrouble
https://github.com/aritraroy/PinLockView

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложный банковский троянец совершенствует свои методы распространения, теперь он использует поддельные веб-сайты в Discord и расширяет возможности, такие как захват экрана, кража данных и манипулирование устройствами. Он использует специальные сервисы Android для скрытых операций, включая поддельные оверлеи для кражи учетных данных, и использует удаленные команды для постоянного контроля над скомпрометированными устройствами.
-----

Сложная разновидность банковского трояна усовершенствовала тактику распространения и возможности. В настоящее время он распространяется через поддельные веб-сайты в каналах Discord, ранее он был нацелен на фишинговые сайты, имитирующие европейские банки. Троянец фокусируется на краже банковских учетных данных с использованием оверлеев и кейлоггинга. В последнем варианте реализованы расширенные возможности, включая захват экрана, кражу данных и команды манипулирования устройствами, всего собрано 34 образца. В нем используется сложный метод обфускации, усложняющий статический анализ из-за бессмысленных соглашений об именах. Троянец в значительной степени полагается на специальные сервисы Android и использует процесс установки, основанный на сеансах. Он скрывает вредоносную полезную нагрузку в каталоге ресурсов/raw приложения и маскируется под законное расширение, часто используя значок Google Play. После установки он убеждает пользователей включить специальные службы для обнаружения вредоносных действий. Новые функции включают в себя мошеннические наложения пользовательского интерфейса для получения PIN-кода, записи экрана и блокирования доступа к банковским приложениям и приложениям безопасности. Вредоносная программа использует библиотеки с открытым исходным кодом, такие как PatternLockView и PinLockView, для имитации поддельных экранов блокировки и регистрирует конфиденциальные входные данные, прежде чем отправлять их на сервер управления (C2). Он использует API-интерфейсы Android MediaProjection и VirtualDisplay для захвата экрана в режиме реального времени, получая разрешения с помощью замаскированных действий для создания виртуального дисплея. Вредоносная программа отслеживает приложения переднего плана, накладывая вводящие в заблуждение сообщения и нарушая доступ пользователей. Функциональность кейлоггера позволяет ему отслеживать и регистрировать нажатия клавиш и изменения в приложениях, сохраняя постоянные журналы. Он использует поддельные наложения на законные приложения для сбора конфиденциальной информации и перенаправляет перехваченные учетные данные на свой сервер C2. C2 вредоносной программы обеспечивает всесторонний контроль за кражей данных и постоянным доступом.

#ParsedReport #CompletenessMedium
31-07-2025

1. What is a silver fox and a horse

https://paper.seebug.org/3347/

Report completeness: Medium

Actors/Campaigns:
Silver_fox

Threats:
Todesk_tool
Anydesk_tool

Victims:
Ordinary users

Geo:
China

ChatGPT TTPs:
do not use without manual check
T1036, T1036.005, T1055.001, T1140, T1189, T1219, T1566.001, T1566.002

IOCs:
Domain: 1
IP: 2
Url: 2
File: 2

Soft:
ZoomEye, Feishu, Chrome

Algorithms:
zip

Win API:
decompress

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Троянец Silver Fox использует атаки waterhole в Китае, маскируясь под легальное программное обеспечение, чтобы заманить пользователей на загрузку вредоносного ПО через манипулируемые результаты поисковой системы. Злоумышленники используют фишинговые веб-сайты с упорядоченными шаблонами и быстрым развертыванием SSL-сертификатов для сокрытия вредоносных ссылок и повышения эффективности. В каталоге более 2639 сайтов.
-----

Активность троянской программы Silver Fox значительно возросла, что особенно отмечено в недавнем отчете Центра анализа угроз безопасности Tencent. Эта троянская программа в основном используется в Китае и использует стратегию атаки по принципу "водопоя", маскируясь под законные пакеты для установки программного обеспечения Office, чтобы заманить пользователей в ловушку загрузки. Используя методы SEO, злоумышленники успешно внедряют вредоносные ссылки в результаты поиска, связанные с загрузкой популярного программного обеспечения, побуждая пользователей переходить по поддельным официальным интерфейсам, на которых якобы размещено подлинное программное обеспечение.

В отчете рассказывается о фишинговом веб-сайте, который выступает в качестве координационного центра для анализа проникновения с использованием платформы ZoomEye. Этот сайт обладает уникальными функциями, такими как специфические файлы JavaScript, значения SSL-сертификатов и шаблоны IP-адресов, которые служат индикаторами для выявления и расширения масштабов вредоносной инфраструктуры злоумышленника. Методология атаки заключается в манипулировании результатами поиска востребованного программного обеспечения с целью предоставления поддельных ссылок на скачивание, которые часто настраиваются таким образом, чтобы побудить пользователей установить вредоносное ПО после загрузки.

Анализ, проведенный на основе запросов ZoomEye, выявил многочисленные фишинговые веб-сайты, связанные с конкретными названиями программного обеспечения. Например, стратегия заключалась в присвоении имен популярным приложениям, таким как Feishu, ToDesk и браузер Chrome, для усиления обмана. Примечательно, что многие фишинговые сайты имеют схожие характеристики и шаблоны, о чем свидетельствуют близкие временные метки конкретных файлов изображений, используемых при их создании, что подтверждает систематический подход злоумышленников к настройке вредоносных веб-сайтов.

Злоумышленник использует высокоорганизованную тактику с использованием единого шаблона для нескольких фишинговых сайтов, что обеспечивает максимальную эффективность и минимизацию затрат. Кроме того, они объединяют множество доменных имен вокруг одного IP-адреса, что еще больше усложняет усилия по обнаружению. В исследовании отмечается, что более 90% используемых SSL-сертификатов были от “Let's Encrypt”, что способствует быстрому внедрению новых фишинговых схем, а также упрощает процесс обновления из-за их короткого срока действия.

Загружаемые файлы с этих сайтов обычно упаковываются в виде ZIP-файлов, содержащих исполняемые программы, замаскированные под установочные приложения, чтобы обойти меры безопасности, ограничивающие прямое выполнение исполняемых файлов. Эта тактика направлена на то, чтобы побудить пользователей распаковывать и запускать вредоносные файлы вручную, тем самым повышая вероятность успеха этих фишинговых кампаний.

Кроме того, в ходе анализа были каталогизированы 2639 фишинговых веб-сайтов, демонстрирующих обширную инфраструктуру, лежащую в основе троянской программы Silver Fox. В отчете рекомендуется интегрировать идентифицированные доменные имена и IP-адреса в системы обнаружения безопасности для усиления защиты от этих развивающихся фишинговых угроз. В целом, полученные результаты свидетельствуют о сложном уровне интеграции ресурсов и возможностей автоматизации в рамках операций хакеров, что подчеркивает необходимость принятия упреждающих и совместных мер кибербезопасности.

#ParsedReport #CompletenessMedium
31-07-2025

Scattered Spider

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-320a

Report completeness: Medium

Actors/Campaigns:
0ktapus (motivation: cyber_criminal, financially_motivated, information_theft)

Threats:
Dragonforce_ransomware
Mfa_bombing_technique
Mimikatz_tool
Ngrok_tool
Screenconnect_tool
Splashtop_tool
Tailscale_tool
Teamviewer_tool
Anydesk_tool
Avemaria_rat
Raccoon_stealer
Vidar_stealer
Rattyrat
Lolbin_technique
Smishing_technique
Spear-phishing_technique
Byovd_technique

Industry:
E-commerce, Critical_infrastructure, Telco, Bp_outsourcing

Geo:
Canadian, United kingdom, Australian, Russia

TTPs:
Tactics: 14
Technics: 43

IOCs:
File: 1
Domain: 5

Soft:
Pulseway, Active Directory, ESXi, Slack, Microsoft Teams, Microsoft Exchange, remote desktop services, Windows Security

Crypto:
bitcoin

Languages:
java

Links:
https://github.com/cisagov/Decider/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Scattered Spider (UNC3944, Oktapus) нацелен на коммерческую и критически важную инфраструктуру, используя передовые технологии социальной инженерии, вымогательства и программы-вымогатели, такие как DragonForce. Они используют усталость от MFA, тактику фишинга и обмена SIM-картами, а также такие инструменты, как Mimikatz, для повышения устойчивости. Извлечение данных осуществляется с помощью инструментов ETL и облачных сервисов, что усложняет процесс восстановления для жертв.
-----

Совместное заключение ФБР, CISA и нескольких международных правоохранительных органов указывает на продолжающуюся вредоносную деятельность хакерской группы Spider, в первую очередь направленную против коммерческих объектов и критически важных секторов инфраструктуры. Компания Scattered Spider, также известная под различными псевдонимами, включая UNC3944 и Oktapus, известна тем, что использует передовые методы социальной инженерии, вымогательства, кражи данных и внедрения программ-вымогателей. Примечательно, что они были связаны с недавним использованием программы-вымогателя DragonForce, что указывает на эволюцию их стратегий атаки.

Эти хакеры используют комбинацию тактик, методов и процедур (TTP), которые включают в себя сложные методы социальной инженерии, такие как "push-бомбардировка" и атаки на замену SIM-карт, направленные на получение учетных данных для получения несанкционированного доступа. Сообщается, что они используют "усталость от MFA", убеждая пользователей подтверждать множественные запросы на аутентификацию, что позволяет им обходить процессы многофакторной аутентификации. В рекомендациях подчеркивается, что Scattered Spider также участвует в фишинговых кампаниях и незаконном получении учетных данных сотрудников с даркнет-площадок. Их первоначальные попытки проникновения часто связаны с подводной охотой, целью которой является получение ИТ-персоналом конфиденциальной информации, такой как токены MFA.

Оказавшись внутри сети, Scattered Spider использует законные средства удаленного доступа для навигации и поддержания постоянства в среде. Среди инструментов, которые используются в их работе, - Fleetdeck.io, Mimikatz и любое законное приложение, облегчающее удаленное управление. Их методы работы включают использование вредоносных программ для сбора данных, таких как Raccoon Stealer и VIDAR Stealer, которые используются для утечки конфиденциальной информации, такой как учетные данные для входа в систему, данные браузера и другая личная идентифицируемая информация.

Более того, Scattered Spider использует методы, позволяющие им избегать обнаружения, известные как "жизнь за пределами земли", используя программное обеспечение, уже имеющееся в среде жертвы. Группа демонстрирует высокую степень адаптивности, часто изменяя свои TTP и принимая меры для обхода средств безопасности. Они внимательно следят за целями своих атак, иногда даже участвуют в реагировании на инциденты, чтобы избежать обнаружения и изменить свою тактику в режиме реального времени.

Утечка данных является ключевым компонентом их стратегии и часто осуществляется с помощью приобретенного доступа к облачным сервисам или установленных инструментов извлечения, преобразования и загрузки (ETL), при этом жертвы иногда сталкиваются с требованиями выкупа наряду с угрозами кражи данных. Известно, что Scattered Spider осуществляет эксфильтрацию данных в различные места, включая такие сервисы, как Snowflake Data Cloud, что усложняет восстановление данных для организаций.

#ParsedReport #CompletenessMedium
31-07-2025

Lazarus Group Enhances Malware with New OtterCookie Payload Delivery Technique

https://gbhackers.com/lazarus-group-malware-with-ottercookie/

Report completeness: Medium

Actors/Campaigns:
Lazarus (motivation: information_theft, cyber_criminal)
Contagious_interview
Silver_fox
Fancy_bear
Hafnium

Threats:
Ottercookie
Beavertail
Invisibleferret
Teamviewer_tool
Doubletrouble
Lamehug_tool

Industry:
Financial

Geo:
Chinese, Singapore, Russian, Spanish, North korean

ChatGPT TTPs:
do not use without manual check
T1027, T1059.007, T1071.001, T1204.002, T1497

IOCs:
Domain: 1
Url: 5
IP: 3

Soft:
Twitter, WhatsApp, curl

Functions:
eval, errorHandler

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Lazarus Group "Заразительное интервью" усовершенствовала методы атак, используя запутанный вредоносный код и фрагментированные URL-адреса, чтобы скрыть инфраструктуру C2 на законных платформах. Они используют такие тактики, как возврат доброкачественных значков, когда отсутствуют определенные токены, и пользовательские функции обработки ошибок для улучшения стратегий уклонения, что усложняет усилия по обнаружению и установлению авторства.
-----

Кампания Contagious Interview, проводимая группой Lazarus, продемонстрировала значительную эволюцию в методах ее проведения, особенно в механизмах доставки основных продуктов: BeaverTail, InvisibleFerret и OtterCookie. Недавний анализ показал, что группа внедрила инновационные методики для маскировки своего вредоносного кода, что усложняет выявление их действий автоматизированными средствами обнаружения.

Одна из примечательных тактик, применяемых Lazarus Group, заключается в фрагментации URL-адресов в коде. Этот метод скрывает инфраструктуру управления и контроля (C2), используя законные хостинговые платформы, в частности Vercel.Приложение для доставки вредоносной полезной нагрузки, замаскированной под безобидный контент с иконками. Механизм включает в себя вызов константы "doing", которая инициирует операцию запроса к серверу C2. В процессе выполнения использование функции eval() становится решающим для извлечения вредоносного кода, и кампания разработана таким образом, чтобы эффективно обрабатывать запросы на возврат безопасных изображений при пропуске определенных токенов.

Во время тестирования в "песочнице" стало очевидно, что, хотя отсутствие "bearrtoken: логотип" действительно создает благоприятный фоновый значок, эта тактика также подчеркивает тенденцию группы перепрофилировать визуальные элементы из предыдущих проектов, что еще больше усложняет работу по атрибуции и обнаружению. Такое сочетание обмана с фрагментированной стратегией реагирования на ошибки демонстрирует глубокое понимание методов уклонения от использования современных вредоносных программ.

Кроме того, злоумышленники улучшили обработку ошибок, предварительно вернув 500 ошибок из сообщений API, вместо того чтобы напрямую полагаться на eval() для выполнения вредоносной полезной нагрузки. Вместо этого в процессе используются пользовательские функции обработки ошибок, которые служат еще одним уровнем запутывания. В совокупности эти стратегии отражают текущую адаптацию Lazarus Group для поддержания операционной безопасности и маскировки своей деятельности, что еще больше усложняет их хакерский ландшафт.

#ParsedReport #CompletenessHigh
31-07-2025

PAY2KEY: New player in the RAAS market with an eye on Russia

https://www.f6.ru/blog/pay2key/

Report completeness: High

Threats:
Pay2key
Uac_bypass_technique
Themida_tool
Lockbit
Babuk

Victims:
Russian companies, Russian users, Russian financial organizations

Industry:
Retail, Financial

Geo:
Chelyabinsk, Russian, Russia

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1047, T1055.001, T1059.001, T1068, T1105, T1112, T1140, T1218, have more...

IOCs:
Email: 1
Domain: 2
File: 22
Registry: 1
Hash: 33
Url: 2

Soft:
Dropbox, Gmail, Windows Defender

Algorithms:
curve25519, sha1, chacha20, ecdh

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Pay2Key - это новая программа-вымогатель, предназначенная для российских компаний с помощью фишинговых кампаний и использующая передовые методы уклонения от уплаты налогов и инструмент шифрования Mimic. В нем используются жестко запрограммированные ключи для шифрования, шифр ChaCha20 и протокол ECDH, а также выполняются сценарии для отключения антивирусной защиты. Увеличение числа целенаправленных атак свидетельствует об изменении ландшафта угроз среди русскоязычных киберпреступников.
-----

Сервис вымогательства Pay2Key, который с февраля 2025 года идентифицируется как новая программа-вымогатель как услуга (RaaS), появился на русскоязычных форумах по киберпреступности. Этот сервис основан на возможностях известного инструмента шифрования Mimic и работает в основном через анонимную сеть i2p. Несмотря на неофициальные запреты на атаки на предприятия в СНГ, Pay2Key нацелился на российские компании, в частности, в сфере финансов, строительства и розничной торговли, с помощью фишинговых кампаний.

Активность Pay2Key впервые была отмечена на форуме Gerki, где 23 февраля 2025 года было сделано объявление о его запуске, получившем название Rice. Вслед за этим в марте 2025 года аналитики F6 обнаружили три масштабные фишинговые кампании, направленные против российских пользователей. Набор инструментов, используемый Pay2Key, включает в себя сложные методы обхода антивирусного обнаружения, архивы SFX и различные тактики фишинга.

Pay2Key отличается сложной архитектурой вредоносного ПО, включая методы шифрования с использованием потокового шифра ChaCha20 и протокола эллиптической кривой Диффи-Хеллмана (ECDH) для обеспечения безопасности связи. Процесс шифрования отличается уникальным подходом: вместо генерации сеансовых ключей во время выполнения используется заранее определенный набор ключей, жестко закодированных в вредоносной программе. Такой подход повышает скорость и скрытность процесса шифрования.

В практических целях, таких как фишинговая кампания, нацеленная на российские финансовые учреждения, злоумышленники использовали электронные письма со ссылками на файлы Dropbox, замаскированные под законные коммерческие предложения. Например, в одной кампании использовался файл под названием "Nexcall.exe", который при запуске запускал цепочку сценариев и команд, использующих PowerShell для управления исполняемыми файлами и отключения защитника Windows. Это включало добавление файлов в списки исключений антивируса и обход контроля доступа пользователей для повышения привилегий.

Исследование выявило тревожную тенденцию: распространение предложений RaaS побуждает злоумышленников совершенствовать свои вредоносные программы и методы, чтобы выделиться в конкурентной среде киберпреступности. По мере роста частоты атак на российские предприятия и с учетом растущего числа группировок, которые в настоящее время открыто игнорируют ранее введенные ограничения в отношении стран СНГ, ожидается дальнейший рост угрозы, исходящей от таких сервисов, как Pay2Key.

Подводя итог, можно сказать, что новые доминирующие характеристики Pay2Key подчеркивают эволюцию хакеров, демонстрирующих передовые методы и агрессивные стратегии таргетинга, которые представляют значительные риски для различных секторов в регионе.

#ParsedReport #CompletenessLow
31-07-2025

UNC2891 Bank Heist: Physical ATM Backdoor & Linux Forensic Evasion Evasion

https://www.group-ib.com/blog/unc2891-bank-heist

Report completeness: Low

Actors/Campaigns:
Lightbasin (motivation: financially_motivated)

Threats:
Caketap
Tinyshell

Victims:
Banks, Atm operators

Industry:
Financial

TTPs:

ChatGPT TTPs:
do not use without manual check
T1018, T1036, T1195.003, T1564.013, T1568.003

Soft:
Linux, Raspberry Pi

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
UNC2891 осуществил сложное банковское вторжение, используя Raspberry Pi для физического доступа и передовые методы уклонения, включая новую тактику борьбы с криминалистикой (T1564.013), использующую злоупотребление подключением Linux bind. Черный ход, замаскированный под "lightdm", передавался по динамическому каналу DNS для манипулирования снятием наличных в банкоматах, избегая обнаружения, что иллюстрирует необходимость усиления защиты от кибербезопасности.
-----

Анализ сложного банковского вмешательства UNC2891 выявил многоуровневый подход, включающий комбинацию физического доступа и передовых методов уклонения, нацеленных на критически важную банковскую инфраструктуру. Хакерская группа использовала ранее недокументированную тактику борьбы с криминалистикой, получившую обозначение T1564.013 в платформе MITRE ATT&CK, которая использует злоупотребление монтированием Linux bind для сокрытия бэкдорных процессов. Первоначальный доступ к сети был получен путем физической установки устройства Raspberry Pi в банкомате, подключенного к тому же сетевому коммутатору, что позволило интегрировать его непосредственно во внутреннюю сеть банка. Это устройство использовало модем 4G для обеспечения удаленного доступа по каналу динамического управления DNS (C2), устанавливая постоянное соединение, которое обходило обычную охрану периметра.

Криминалистические исследования выявили необычное поведение сети, в том числе отправку исходящих сигналов каждые 600 секунд и повторные попытки подключения к определенному порту, однако отсутствие каких-либо видимых процессов в списке процессов наводило на мысль об использовании руткита или других анти-криминалистических мер. Вредоносный двоичный файл маскировался под законный системный процесс под названием "lightdm", предназначенный для дальнейшего сокрытия своего присутствия. Этот подход помешал первоначальным усилиям криминалистов, поскольку обычные методы сортировки не смогли обнаружить бэкдор из-за эффективного использования привязок для скрытия артефактов.

Конечной целью кампании было скомпрометировать сервер коммутации банкоматов, что позволило внедрить руткит под названием CAKETAP, который манипулировал ответами аппаратного модуля безопасности (HSM) и подделывал сообщения авторизации, чтобы облегчить несанкционированное снятие наличных в банкоматах. Несмотря на скрытый и изощренный характер вторжения, атака была в конечном счете предотвращена до завершения этих вредоносных действий.

Более того, расследование показало, что даже после обнаружения устройства Raspberry Pi злоумышленники сохранили доступ через черный ход, расположенный на внутреннем почтовом сервере с прямым подключением к Интернету, продемонстрировав многогранную стратегию доступа, которая усложняет традиционные меры сдерживания. Этот инцидент подчеркивает необходимость использования как физического, так и логического доступа при моделировании угроз для банковских инфраструктур, а также острую потребность в экспертизе памяти и сети в современных методах реагирования на инциденты. Интеграция передовых методов может ввести в заблуждение традиционные инструменты судебной экспертизы, что требует изменения парадигмы в том, как структурированы и реализуются средства защиты от кибербезопасности.