MuddyWater: DLL sideloading protiv 9 država

Kolege, skrećem pažnju u oblasti sajber bezbednosti: MuddyWater je izveo kampanju protiv organizacija u 9 država. Prema Symantec/Carbon Black i Broadcom, napadači su koristili DLL sideloading preko potpisanih fmapp.exe i sentinelmemoryscanner.exe. Moduli su koristili ChromElevator za krađu podataka iz pregledača; lanci node.exe→PowerShell izvođili su izviđanje i eksfiltraciju, podaci su objavljivani na javnim servisima. Ciljevi: industrija, elektronika, aerodromi, finansije i državne institucije; u jednom slučaju napadači su bili u mreži nedelju dana. Zašto je važno: tehnike zaobilaze detekciju po potpisima — potrebna je detekcija zasnovana na ponašanju i kontrola pokretanja potpisanih procesa. Koje Vi imate prakse praćenja i ograničavanja ovakvih binarnih fajlova? #sajberbezbednost #APT #DLLsideloading #obaveštajopretnjama


Poslednji komentari
Još nema komentara.