Майкрософт выкатил мануал разбор действий Secret Blizzard. Если кратко:
🦊 Фишим чуваков с использованием эксплойтов (CVE-2013-3346 (RCE Adobe) + CVE-2013-5065(Шрифты Microsoft))
🦊 Ставим Amadey бота
- Собираем инфу об устройствах;
- Чекаем антивирусы, стопаем/добавляем наши процессы в исключение;
- Собираем конфигурацию системы, дерево каталогов;
- Передаем данные на сервер по шифрованному каналу.
🦊 На этом этапе вкатываются Secret Blizzard. P.S. Они либо как-то отжали сервера Amadey, либо договорились 💰💰💰. Грузим бэкдор Tavdig.
- Ставим Kazuar для длительного доступа (штука внедряется в процессы, такие как explorer.exe или opera.exe, чтобы скрыть активность);
- Дропаем Amadey, чтобы не палиться.
🦊 Собираем доп данные о сети:
- Пользователи и сеансы.
- Сетевые маршруты и файлы
- Определяемся с ценными ресурсами для нас (например, устройства с IP Starlink, ассоциируемые с военными)
🦊 Ебем сетку, кто возбуждает)
🦊 Фишим чуваков с использованием эксплойтов (CVE-2013-3346 (RCE Adobe) + CVE-2013-5065(Шрифты Microsoft))
🦊 Ставим Amadey бота
- Собираем инфу об устройствах;
- Чекаем антивирусы, стопаем/добавляем наши процессы в исключение;
- Собираем конфигурацию системы, дерево каталогов;
- Передаем данные на сервер по шифрованному каналу.
🦊 На этом этапе вкатываются Secret Blizzard. P.S. Они либо как-то отжали сервера Amadey, либо договорились 💰💰💰. Грузим бэкдор Tavdig.
- Ставим Kazuar для длительного доступа (штука внедряется в процессы, такие как explorer.exe или opera.exe, чтобы скрыть активность);
- Дропаем Amadey, чтобы не палиться.
🦊 Собираем доп данные о сети:
- Пользователи и сеансы.
- Сетевые маршруты и файлы
- Определяемся с ценными ресурсами для нас (например, устройства с IP Starlink, ассоциируемые с военными)
🦊 Ебем сетку, кто возбуждает)