DEEP#DOOR: Python‑бэкдор через публичный туннель крадёт браузерные и облачные учётные данные

Коллеги, хочу обратить внимание в сфере кибербезопасности: обнаружен Python‑бэкдор DEEP#DOOR.
Кратко:
- Заражение: batch‑dropper извлекает встроенный Python‑имплант и создаёт персистенцию.
- C2 через публичный туннел bore.pub: удалённый шелл, кейлоггер, скриншоты, веб‑камера, кража браузерных и облачных учётных данных.
- Активны обходы защиты (AMSI/ETW‑патчи, вмешательство в Defender, VM/песочница) и watchdog для восстановления артефактов.
Почему это важно: файл‑лайс и публичный туннел усложняют обнаружение и ремедиацию, повышая риск компрометации.
Рекомендую: проверить Startup, Registry Run, Scheduled Tasks, ротировать учётные данные и ограничить доступ к туннелям.
Какие меры применяете Вы при подобных инцидентах?
#кибербезопасность #инцидентответ #RAT #облачнаябезопасность


Последние комментарии
Комментариев пока нет.