«Волки надели кольца» — разбор способа доставки бэкдора RingSpy и варианты его детектирования
Привет, Хабр!
Меня зовут Илья Ефимов, я аналитик-исследователь угроз кибербезопасности в компании R-Vision. Сегодня я расскажу про вредоносное ПО RingSpy, которое использует группировка Mysterious Werewolf. В этой статье мы подробно разберём один из способов его установки на компьютер жертвы.
RingSpy — это программа для удаленного доступа, которая позволяет скачивать файлы и выполнять различные команды атакующих (С2). Она пришла на смену другому инструменту — агенту Athena фреймворка Mythic. RingSpy управляется через бот в мессенджере Telegram, что делает его идеальным для скрытой атаки и контроля над скомпрометированными системами. А основной «фишкой» способа доставки бэкдора стала эксплуатация уязвимости CVE‑2023‑38831 в WinRAR.
Наши коллеги уже подготовили отчет о функционале этого бэкдора. Я же хочу разобрать один из способов его внедрения в скомпрометированную систему и рассмотреть, как его можно обнаружить с помощью R-Vision SIEM.
Поймать волкаИсточник: Хабрахабр
Похожие новости
- Чудо-курсы с обещанием быстрых результатов: 200 лет рекламы, которая не меняется
- DarkGaboon: яд кибергадюки в цифровых жилах российских компаний
- Агентная экономика. Дайджест за неделю
- Редакция Spark.ru: Бизнес в фронтовом приграничье: Белгород, часть 2. «Танцы - это кислород для города»
- Почему зарплаты и соцпакет уже не секретное оружие. Как понять, нужно ли вам идти в соцсети для HR-коммуникации
- Веб-интегратор “Компот”: Google Таблицы тоже под запретом?
- Only: UX и UI маркетплейса недвижимости MR
- Топ новостей инфобеза за май 2025 года
- Check Point Software и ее интеллектуальная собственность
- Новый кандидат в односторонние функции для криптографии и PRNG