#ParsedReport #CompletenessLow
29-08-2023

Stealthy Android Malware MMRat Carries Out Bank Fraud Via Fake App Stores. Distribution analysis

https://www.trendmicro.com/en_us/research/23/h/mmrat-carries-out-bank-fraud-via-fake-app-stores.html

Report completeness: Low

Threats:
Mmrat
Gigabud_rat
Vultur
Strat_rat

Victims:
Mobile users in southeast asia

Industry:
Financial, Government

Geo:
Asia, Vietnamese

TTPs:
Tactics: 2
Technics: 0

IOCs:
File: 1
Hash: 52

Soft:
android, wechat

Platforms:
apple

Links:
https://github.com/pedroSG94/rtmp-rtsp-stream-client-java/tree/master

#ParsedReport #ExtractedSchema

Classified images:
code: 24, windows: 14, schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: MMRat - новый банковский троян для Android, ориентированный на пользователей мобильных устройств в Юго-Восточной Азии. Для осуществления банковского мошенничества он использует специализированный C&C-протокол, фишинговые сайты, а также ряд технологий, таких как кейлоггинг, захват экрана и удаленное управление устройством. Кроме того, он способен удалять себя после выполнения поставленных задач, что затрудняет отслеживание его деятельности.
-----

Новый банковский троян для Android, получивший название MMRat, с конца июня 2023 года атакует пользователей мобильных устройств в Юго-Восточной Азии.

Он способен перехватывать пользовательский ввод и содержимое экрана, а также дистанционно управлять устройствами-жертвами.

MMRat маскируется под официальное государственное приложение или приложение для знакомств, а затем представляет жертвам фишинговый сайт.

Он злоупотребляет сервисом Accessibility для предоставления себе прав и перехвата пользовательского ввода и действий.

Кроме того, он использует API MediaProjection для записи экрана жертвы и передачи содержимого на удаленный сервер.

Для осуществления банковского мошенничества он выполняет несколько шагов по обходу пользователя, после чего удаляет себя, получив C&C-команду UNINSTALL_APP.

#ParsedReport #CompletenessMedium
29-08-2023

New Remo Android Banking Trojan Targets Over 50 Banking Applications And Crypto Wallets

https://cyble.com/blog/new-remo-android-banking-trojan-targets-over-50-banking-applications-and-crypto-wallets

Report completeness: Medium

Threats:
Roamer
Omni

Victims:
Banking and cryptocurrency wallet applications in thailand, vietnam, and indonesia

Industry:
Retail, Financial

Geo:
Chinese, India, Vietnam, Asia, Indonesia, China, Thailand

TTPs:
Tactics: 5
Technics: 4

IOCs:
File: 17
Url: 12
Hash: 7

Soft:
android

Wallets:
metamask, tokenpocket

Crypto:
binance

Algorithms:
sha256, sha1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что троян Remo Banking Trojan представляет собой сложную киберпреступную угрозу, направленную на приложения для банковских операций и криптовалютных кошельков в Юго-Восточной Азии, и что пользователи и организации должны принять меры по защите от этой и других возникающих угроз.
-----

Киберпреступность - это растущая проблема, поскольку злоумышленники постоянно находят новые способы использования технологий в своих корыстных целях. В июне 2023 года компания Cyble Research and Intelligence Labs (CRIL) обнаружила мошенничество с добычей криптовалют, распространявшее троянца Remo Android Banking Trojan, который был нацелен на банковские приложения во Вьетнаме и Индии. Дальнейший анализ вредоносного ПО выявил возможного китайского угрожающего актора (TA), стоящего за этой деятельностью. Вредоносный APK распространялся через фишинговые сайты и после установки устанавливал соединение с C&C-сервером, позволяющим ему осуществлять свою вредоносную деятельность.

Вредоносная программа была нацелена на более чем 50 банковских приложений и криптовалютных кошельков в Таиланде, Вьетнаме и Индонезии, обеспечивая утечку конфиденциальной информации из этих приложений. Злоумышленник использовал сервис Accessibility для выполнения действий банковского троянца, предотвращения деинсталляции и предоставления автоматических разрешений, а также перехватывал весь видимый текст на текущем экране из целевых приложений и передавал его на C&C-сервер. Кроме того, сервис отслеживал редактирование текстовых полей в целевых приложениях и передавал любую введенную конфиденциальную информацию, а также похищал все контакты, сохраненные на зараженном устройстве, и отправлял их на C&C-сервер.

Банковский троянец Remo представляет собой сложную угрозу, использующую различные методы обхода обнаружения, включая сильные методы обфускации и собственные процессы шифрования и дешифрования. Для кражи конфиденциальной информации из банковских приложений и криптовалютных кошельков он также использует фишинг, кейлоггинг и эксплуатацию сервисов доступа. Использование поддельной платформы Binance подчеркивает растущую изобретательность и находчивость киберпреступников в разработке мощных и опасных угроз.

Учитывая, что вредоносная программа была ориентирована на Юго-Восточную Азию, предположение о ее китайском происхождении, хотя и является спекулятивным, позволяет говорить о причастности к ней ТА с высоким уровнем сложности. В связи с этим пользователям необходимо сохранять бдительность при работе с веб-сайтами и загрузке приложений, а также соблюдать осторожность при вводе личной или конфиденциальной информации. Организациям также необходимо быть в курсе возникающих угроз, а также иметь надежные средства защиты от них.

#ParsedReport #CompletenessLow
29-08-2023

FortiGuard AI Detects Malicious Packages Hidden in the Python Package Index

https://www.fortinet.com/blog/threat-research/fortiguard-ai-detects-malicious-packages-in-pypi

Report completeness: Low

Threats:
Supply_chain_technique

IOCs:
Email: 1
Hash: 6
Url: 3

Soft:
discord

Languages:
python

#ParsedReport #CompletenessHigh
28-08-2023

HTML Smuggling Leads to Domain Wide Ransomware

https://thedfirreport.com/2023/08/28/html-smuggling-leads-to-domain-wide-ransomware

Report completeness: High

Actors/Campaigns:
Shathak
Wizard_spider

Threats:
Smuggling_technique
Nokoyawa
Icedid
Cobalt_strike
Adfind_tool
Nltest_tool
Beacon
Sessiongopher_tool
Netscan_tool
Meterpreter_tool
Process_injection_technique

Industry:
Financial

Geo:
Bulgaria

TTPs:
Tactics: 11
Technics: 31

IOCs:
IP: 6
File: 14
Command: 4
Path: 9
Domain: 3
Hash: 16

Soft:
active directory, psexec, windows file explorer, openssl, softperfect network scanner, whatsapp

Algorithms:
gzip, zip, base64

Win API:
DllRegisterServer, CreateRemoteThread

Languages:
php

Platforms:
x86

YARA: Found
SIGMA: Found

Links:
https://github.com/ufrisk/MemProcFS
https://github.com/Arvanaghi/SessionGopher/blob/master/SessionGopher.ps1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея данного текста заключается в том, что угрозы могут быстро развернуть вредоносную полезную нагрузку, поэтому организациям важно проявлять бдительность и принимать превентивные меры для защиты от злоумышленников.
-----

В данном случае речь идет о двух разных угрозах, связанных с Nokoyawa ransomware. Распространитель вредоносного HTML-файла отслеживается компанией Proofpoint под кодовым именем TA551, а исполнитель - компанией Microsoft под кодовым именем Storm-0390. Вредоносный HTML-файл был доставлен по электронной почте и содержал защищенный паролем ZIP-файл с ISO-файлом, в котором была развернута вредоносная программа IcedID. Эта вредоносная программа IcedID устанавливала постоянство на хосте с помощью запланированного задания и инициировала подключение к серверам Cobalt Strike. Затем угрожающий агент получал доступ к учетным данным через LSASS и использовал PsExec и WMIC для перемещения файлов между системами в сети. Двоичный файл ransomware и пакетный скрипт копировались на хосты и выполнялись на контроллере домена.

Угроза использовала Windows xcopy для переименования rundll32.exe в entails.exe, а затем внедрила его в процесс cmd.exe. Затем он использовал AdFind для поиска данных на контроллере домена и SoftPerfect Netscan для финального сканирования сети на предмет обнаружения. Угрожающий агент также подключался к различным узлам сети по RDP, туннелируя через процесс beacon, и передавал 1.dll (Cobalt Strike DLL), а также двоичный файл ransomware и пакетный скрипт через Windows File Explorer.

Двоичный файл ransomware был настроен на шифрование сети, загрузку скрытых дисков и удаление теневых копий томов. Кроме того, он был настроен на пропуск определенных каталогов и расширений файлов. Перед началом развертывания программы-вымогателя угроза также подключалась к серверу резервного копирования и открывала консоль резервного копирования на хосте.

ET HUNTING обнаружил подозрительные пустые SSL-сертификаты, RDP-ответы внешним хостам, Win32/IcedID-запросы, openSSL Demo CA, создание службы PsExec, передачу исполняемых файлов SMB, SMB2 NT Create AndX-запросы на .bat-файлы, DLL-файлы, исполняемые файлы и исполняемые файлы в временных каталогах, доступ к менеджеру удаленного управления сервисами DCERPC SVCCTL, поведенческий необычно быстрый трафик терминального сервера, поведенческий необычный трафик портов 135 и 445, оболочку PowerShell и Windows-команд.

Время распространения вымогательского ПО (TTR) составило чуть более 12 часов с момента первоначального заражения, что показывает, насколько быстро эти угрожающие субъекты могут развертывать свои вредоносные полезные нагрузки. Важно всегда быть бдительным и знать о последних угрозах, а также принимать превентивные меры для защиты организации от злоумышленников.

#ParsedReport #CompletenessMedium
30-08-2023

DuckTail - A Threat Actor Expos

https://www.zscaler.com/blogs/security-research/ducktail-threat-actor-expose

Report completeness: Medium

Threats:
Ducktail_stealer
Timestomp_technique

Victims:
Users working in the digital marketing and advertising space, facebook and tiktok business accounts, and google ad accounts

Industry:
Financial

Geo:
American, Vietnamese, Turkey, Vietnam

TTPs:
Tactics: 1
Technics: 7

IOCs:
Domain: 58
File: 5

Soft:
tiktok, telegram, chatgpt

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея этого текста заключается в том, что Zscaler ThreatLabz провела расследование, в ходе которого были раскрыты детали цепочки атак DuckTail, и что участники угроз DuckTail являются активными продавцами в подпольной экономике краденых учетных записей в социальных сетях.
-----

Для того чтобы разобраться во вредоносных операциях DuckTail, специалисты Zscaler ThreatLabz провели глубокое расследование, длившееся 3 месяца в мае 2023 года. В ходе исследования мы выяснили важные детали различных элементов цепочки атак DuckTail, начиная с разведки и заканчивая процедурами после компрометации.

В основном DuckTail атакует пользователей, работающих в сфере цифрового маркетинга и рекламы, с помощью социальной инженерии, осуществляемой через сообщения LinkedIn. Полезная нагрузка вредоносного ПО обычно представляет собой исполняемые файлы .NET, но также может быть представлена в виде надстроек Excel или расширений для браузеров. Как правило, полезная нагрузка распространяется через вредоносные архивы, размещенные на публичных "облачных" хостингах, URL-адреса Rebrandly или поддельные сайты.

Угрозы DuckTail успешно используют в своих целях популярные в последнее время платформы генеративного искусственного интеллекта, такие как ChatGPT и Google Bard AI. Они также используют частные прокси-сервисы для входа во взломанные учетные записи и не дают жертвам возможности восстановить учетную запись.

По нашим наблюдениям, участники угроз DuckTail являются активными продавцами в подпольной экономике краденых аккаунтов в социальных сетях. Аккаунты продаются в зависимости от их свойств, таких как тип аккаунта (персональный или бизнес-менеджер), ежедневный рекламный бюджет, количество рекламных аккаунтов, которые он контролирует, возраст аккаунта, наличие и валидность сохраненных способов оплаты, история успешных платежей аккаунта. Низкокачественные аккаунты могут быть проданы примерно за 350 000 вьетнамских донгов (\~15 долл. США), а более ценные - за 8 000 000 вьетнамских донгов (\~340 долл. США).

Поняв тактику, технику и процедуры DuckTail, мы сможем лучше защитить себя от их вредоносной деятельности.

#ParsedReport #CompletenessLow
30-08-2023

Threat Actor Interplay \| Good Day s Victim Portals and Their Ties to Cloak

https://www.sentinelone.com/blog/threat-actor-interplay-good-days-victim-portals-and-their-ties-to-cloak

Report completeness: Low

Threats:
Good_day_ransomware
Arcrypt
Arcrypter
Babuk

Geo:
Germany, Taiwan, Italy, France

ChatGPT TTPs:
do not use without manual check
T1203, T1104, T1070, T1083, T1486, T1490, T1491

IOCs:
Email: 1
Hash: 5
File: 6
Command: 1

#ParsedReport #ExtractedSchema

Classified images:
code: 4, chats: 1, windows: 2, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Программа Good Day/ARCrypter ransomware начала распространяться с мая 2023 года и в основном нацелена на Германию, Италию, Тайвань и Францию.-----

Программа Good Day (ARCrypter) ransomware впервые появилась в мае 2023 года, и с тех пор ее присутствие неуклонно растет. Жертвам рассылаются письма с выкупом, содержащие адрес электронной почты MikLYmAklY555@cock.li, и угрозы утечки данных или их продажи на сайте Cloak, если они не заплатят выкуп. Чаще всего эта программа-вымогатель атакует Германию, Италию, Тайвань и Францию.

Программа Good Day ransomware предназначена для запуска через дроппер или скрипт. После запуска он пытается перечислить все локальные тома и запущенные процессы, а также удалить теневые копии томов. Кроме того, он содержит жестко заданный список папок и файлов, которые должны быть исключены из шифрования. Наконец, он откладывает выполнение полезной нагрузки с помощью скрытой команды и проверяет, запущен ли он в отладчике.

Хотя связь между Good Day и сайтом утечки информации Cloak уже установлена, полезные нагрузки вымогательского ПО еще не развились на основе ARCrypter. Поэтому важно сохранять бдительность и следить за любыми изменениями, чтобы опередить потенциальных злоумышленников.

#ParsedReport #CompletenessLow
30-08-2023

An Ongoing Open Source Attack Reveals Roots Dating Back To 2021

https://checkmarx.com/blog/an-ongoing-open-source-attack-reveals-roots-dating-back-to-2021

Report completeness: Low

Victims:
Cryptocurrency developers

Industry:
Financial

IOCs:
File: 3
IP: 7
Domain: 12

Algorithms:
zip

YARA: Found

Links:
https://github.com/os-scar/yara-signatures/tree/main
https://gist.github.com/masteryoda101/01eee19e50054733dcde5b7364949550

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Вредоносный агент угроз с 2021 года атакует разработчиков криптовалют, используя пакеты npm для утечки конфиденциальных данных с компьютеров жертв. Угрожающий агент идентифицирован, и для защиты от атаки и понимания TTP злоумышленника необходимо собрать данные обо всех пакетах с открытым исходным кодом из различных репозиториев.
-----

Разработчики криптовалют подвергаются атакам злоумышленников, использующих пакеты npm для утечки конфиденциальных данных, таких как исходный код и конфигурационные файлы с компьютеров жертв. Судя по всему, угрожающий агент действует с 2021 года, постоянно публикуя вредоносный код. В данном отчете были представлены новые пакеты и индикаторы компрометации (IOC), связанные со злоумышленником.

Вредоносный пакет связан с криптовалютной областью и ссылается на такие организации, как CryptoRocket и Binarium. В результате изучения метаданных пакета его автор был идентифицирован как "lexi2". Дальнейший анализ пакетов с открытым исходным кодом в базе данных по перекрестным ссылкам на "lexi2" и другие специфические атрибуты кода выявил вредоносные пакеты, датируемые 2021 годом.

Важно понимать, что вредоносные пакеты npm - это не просто проблема пакетов, а проблема противника. Для эффективной защиты требуется комплексное объединение данных обо всех пакетах с открытым исходным кодом из различных репозиториев, что позволяет лучше понять тактику, технику и процедуры злоумышленника (TTP). Эти данные помогут выявить и предотвратить любые будущие атаки.

#ParsedReport #CompletenessHigh
30-08-2023

Diving Deep into UNC4841 Operations Following Barracuda ESG Zero-Day Remediation (CVE-2023-2868). Cyber Defense Self-Assessment

https://www.mandiant.com/resources/blog/unc4841-post-barracuda-zero-day-remediation

Report completeness: High

Actors/Campaigns:
Unc4841 (motivation: cyber_espionage)
Ghostemperor (motivation: cyber_espionage)
Famoussparrow (motivation: cyber_espionage)
Unc3886 (motivation: cyber_espionage)

Threats:
Skipjack
Depthcharge
Foxtrot
Timestomp_technique
Reptile
Fscan_tool
Seaspy
Saltwater
Seaside
Unc2286
Castletap
Driedmoat
Whirlpool
Seaspray

Victims:
U.s. and foreign government entities, High tech and information technology providers, Government and technology organizations, Government or government related organizations, Public and private sectors worldwide, Asean ministry of foreign affairs, Foreign trade offices, Academic research organizations in taiwan and hong kong, Religious based organizations, Local government, have more...

Industry:
Education, Telco, Biotechnology, Government, Aerospace, Healthcare

Geo:
Asia, American, Macau, Americas, Australian, Chinese, Taiwan, China

CVEs:
CVE-2023-2868 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.4
X-Force: Patch: Official fix
Soft:
- barracuda email security gateway 300 firmware (le9.2.0.006)
- barracuda email security gateway 400 firmware (le9.2.0.006)
- barracuda email security gateway 600 firmware (le9.2.0.006)
- barracuda email security gateway 800 firmware (le9.2.0.006)
- barracuda email security gateway 900 firmware (le9.2.0.006)
have more...

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 4
IP: 66
Domain: 10
Hash: 119

Soft:
openssl, mysql, outlook, active directory

Algorithms:
aes-256, aes, xor, aes-256-cbc, base64

Languages:
lua

YARA: Found

Links:
https://github.com/f0rb1dd3n/Reptile/blob/1e17bc82ea8e4f9b4eaf15619ed6bcd283ad0e17/userland/include/config.h#L11C1-L11C34
https://github.com/f0rb1dd3n/Reptile/blob/1e17bc82ea8e4f9b4eaf15619ed6bcd283ad0e17/userland/shell.c

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 13, chart: 2, code: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Mandiant определила UNC4841 как хорошо обеспеченного ресурсами агента, использующего целый ряд вредоносных программ и инструментов для атак на различные организации в поддержку Китайской Народной Республики. Они рекомендуют клиентам Barracuda, подвергшимся воздействию, продолжать поиск активности UNC4841 и благодарят различные агентства за партнерство, сотрудничество и помощь.
-----

Компания Mandiant выявила продолжающуюся с октября 2022 года по июнь 2023 года кампанию по эксплуатации CVE-2023-2868 с помощью UNC4841.

Компания Barracuda опубликовала информацию о мерах по устранению последствий и уведомление общественности 23 мая 2023 года.

UNC4841 - это хорошо обеспеченный ресурсами агент, использующий ряд вредоносных программ и специально разработанных инструментов для проведения шпионских операций.

Mandiant наблюдала, как UNC4841 проводил внутреннюю разведку и действия по перемещению в сторону небольшого числа объектов-жертв.

Компания Mandiant с высокой степенью достоверности установила, что UNC4841 ведет шпионскую деятельность в поддержку Китайской Народной Республики.

Компания Mandiant предполагает, что UNC4841 будет и в будущем продолжать огибать устройства.

#ParsedReport #CompletenessHigh
30-08-2023

Earth Estries Targets Government, Tech for Cyberespionage

https://www.trendmicro.com/en_us/research/23/h/earth-estries-targets-government-tech-for-cyberespionage.html

Report completeness: High

Actors/Campaigns:
Earth_estries (motivation: cyber_espionage, cyber_criminal)
Famoussparrow (motivation: cyber_espionage)
Axiom

Threats:
Cobalt_strike
Zingdoor
Upx_tool
Dll_sideloading_technique
Trillclient
Hemigate
Meterpreter_tool
Plugx_rat
Iobit_tool
Lolbin_technique
Dns_tunneling_technique
Beacon

Victims:
Government and technology organizations in various countries

Industry:
Iot, Government

Geo:
Canada, India, Malaysia, Africa, Germany, Singapore, Taiwan, Philippines

ChatGPT TTPs:
do not use without manual check
T1105, T1036, T1090, T1086, T1135, T1218, T1045, T1078, T1074, T1107, have more...

IOCs:
File: 54
Hash: 29
Url: 2
Path: 4
Email: 2
Domain: 35
IP: 2

Soft:
curl, windows defender, windows service

Algorithms:
rc4, xor, sha256

#ParsedReport #ExtractedSchema

Classified images:
table: 3, code: 5, windows: 15, schema: 3, dump: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Earth Estries - сложная кибершпионская группа, действующая с 2020 года и использующая передовые технологии для атак на правительственные и технологические организации. Имеющиеся данные указывают на возможную связь между Earth Estries и FamousSparrow, которые используют оппортунистическую тактику для использования устаревших версий легитимных файлов. Организациям следует пересмотреть свои системы и усилить существующие меры безопасности, чтобы защитить себя от этой изощренной хакерской группы.
-----

Earth Estries - сложная кибершпионская группа, действующая с 2020 года и атакующая государственные и технологические организации в различных странах с помощью передовых технологий. Они были замечены в развертывании многочисленных бэкдоров и хакерских инструментов, использовании Zingdoor и атак на понижение уровня PowerShell, а также новых комбинаций боковой загрузки DLL для уклонения от обнаружения. Имеющиеся данные указывают на возможную связь между Earth Estries и FamousSparrow, поскольку IP-адреса и темы технического форматирования указывают на тесную связь между ними.

Известно, что после успешного заражения внутреннего сервера Earth Estries компрометирует существующие учетные записи с административными привилегиями. Для распространения бэкдоров и хакерских инструментов на других машинах в окружении жертвы они используют Server Message Block (SMB) и командную строку WMI (WMIC). Собранные данные из указанной папки архивируются в конце каждого раунда операций. После завершения работы они очищают имеющийся бэкдор и развертывают новую порцию вредоносного ПО для следующего раунда.

Одним из вредоносных инструментов, используемых Earth Estries, является Zingdoor - HTTP-бэкдор, написанный на языке Go, упакованный с помощью UPX и сильно обфусцированный с помощью собственного движка обфускатора. TrillClient - это пользовательская программа для кражи данных из браузера, написанная на языке Go, а HemiGate - это бэкдор, используемый Earth Estries, который исполняется через боковую загрузку DLL и связывается со своим C&C-сервером по порту 443. Для скрытия своего IP-адреса Earth Estries использует CDN-сервис Fastly, который также применяется другими группами, связанными с APT41, такими как Earth Longzhi и GroupCC. Наибольшее количество информации из публичных репозиториев и от сообщества специалистов по анализу угроз было получено от Smartlinkcorp.net, а сервер Cobalt Strike был размещен на ns2.smartlinkcorp.net.

Earth Estries использует оппортунистическую тактику, пользуясь устаревшими версиями легитимных файлов, которые часто игнорируются продуктами безопасности. Поэтому важно внедрить контроль версий и базовые линии приложений, чтобы обнаружить аномалии и не дать злоумышленникам закрепиться в корпоративной среде. Для отслеживания кампании было замечено, что Earth Estries использует ping для проверки доступности удаленного сервера перед обращением к нему.

Организациям в указанных странах следует проверить свои системы на предмет возможных вторжений и несанкционированного обмена трафиком, а также усилить существующие меры безопасности. Trend Vision One предоставляет командам безопасности и аналитикам единую платформу для мониторинга и отслеживания угроз. Понимание методов, используемых Earth Estries, поможет организациям усовершенствовать свои меры безопасности и защититься от этой изощренной хакерской группы.