ATTACKIQ წარმოადგენს კიბერ უსაფრთხოების როგორც სერვისების, ისე საგანმანათლებლო მიმართულებით ერთ-ერთ ლიდერ კომპანიას. მათი ახალი პლატფორმის – AttackIQ Flex-ის, რომელიც არის ქსელების და სისტემის დაცვის უახლესი ინსტრუმენტი, სისტემის შემოწმების მიზნით კონკრეტულ პირებს გაუგზავნა შეტყობინება.
მომხმარებელი ბმულის საშუალებით გადადის ლეგიტიმურ AttackIQ სერვერზე, სადაც რეგისტრაციის გავლის შემდგომ მათ ეძლევათ სპეციალური ნაკრების გადმოწერის შესაძლებლობა, რომელიც, მათ შორის, მოიცავს უახლესი რუსული კიბერშეტევის ექსპლოიტის ბაზებს. შესაბამისი გამშვები ფაილის გადმოწერის შემდგომ დადგინდა რომ მისი ჰეში არ ემთხვეოდა ვებგვერდზე განთავსებული ფაილის ჰეშს. შესაბამისად, ე.წ. Sandbox-ში (იზოლირებულ გარემოში) ფაილის გაშვების შემდგომ, ანტივირუსულმა და შეღწევის საწინააღდეგო სისტემამ Bitdefender Total Security-მ თავის ვირტუალიზირებულ გარემოში გაუშვა ფაილი სახელით Threat_CISA_AA23_347A_V1_0_1 რომლის დამუშავების პროცესშიც ფონურ რეჟიმში Windows Powershell-ის ფანჯარაში დაიბლოკა სკრიპტები,რომელიც აინსტალირებდა ცნობილ mimikatz.exe სამიზნე სისტემაზე შემდგომში მისი დისტანციური მანიპულირებისა და კონფიდენციალური ინფორმაციის მოპარვის მიზნით.
შეღწევის საწინააღმდეგო სისტემამ წარმოადგინა დასახელებები იმ სახიფათო შიგთავსისა რომელიც შეტევის შედეგად უნდა დაინსტალირებულიყო სისტემაში კერძოდ:
.ghostex-cli-wd-1787841625\tmp\f601a3b6-2587-436d-a635-e8589d69d6b8.zip has been detected as infected with Generic.Application.Lazagne.G.C21690F2.
.ghostex-cli-wd-1787841625\tmp\f601a3b6-2587-436d-a635-e8589d69d6b8.zip=>bin/dump_passwords_util/mimikatz/undetectable/undetectable_mimikatz_dcsync_agent.py is infected with Heur.BZC.PZQ.Boxter.121.5480C1DF
.ghostex-cli-wd-1787841625\tmp\f601a3b6-2587-436d-a635-e8589d69d6b8.zip=>bin/dump_passwords_util/lazagne/lazagne_agent.py is infected with Generic.Application.Lazagne.G.C21690F2
ქვემოთ მოცემულია ანალიზის პროცესის შესაბამისი ფოტო-მასალა.
საწყისი წერილი კომანია ATTACKIQ-საგან:
წერილში მითითებული ვებ გვერდის სკრინშოტი,საიდანაც შესაძლებელია სისტემის სისუსტეების ანალიზისათვის (ინფიცირების მთავარი წყარო) სპეციალური ფაილის გადმოწერა/ The
Mimikatz.exe სკრინშოტი
ვირუსის მეორე სკრინშოტი
შეტევის ვექტორის სკრინშოტი