Всем привет! Посоветуйте на сегодня актуальный способ впаривания малвы в корп
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Впаривание малвы вопрос
- Автор темы k1ddddos
- Дата начала
В корпорацию? Соц. инженерия и/или агентура. Либо взлом их серваков, как это делали (возможно ошибусь)Conti, Babuk. LockBit
- Автор темы
- Добавить закладку
- #3
Да в корпорацию, понял, спасибо
Если у них инструкция открывать файлы(как у большинства корпов) в онлайн сервисах?
Один из возможный актуальных сценариев:
Почта с вложением html -> жертва для исправления ошибки word кликает на кнопку -> сценарий powershell загрузил msi и vbs ->
при запуске MSI запускал связанную DLL «Inkpad3.dll» с командой LOLBAS «msiexec -z», команда запустила функцию DllUnregisterServer библиотеки DLL, которая удалила и выполнила другую DLL, «Inkpad_honeymoon.msp».
Это привело к установлению лоадера Matanbuchus. Если VBS был запущен, он использовал PowerShell для загрузки и запуска лоадера DarkGate
Более подробно тут и на vx-underground
Советую использовать приватные лоадеры и стилак( или ратник) если скил позволяет
Почта с вложением html -> жертва для исправления ошибки word кликает на кнопку -> сценарий powershell загрузил msi и vbs ->
при запуске MSI запускал связанную DLL «Inkpad3.dll» с командой LOLBAS «msiexec -z», команда запустила функцию DllUnregisterServer библиотеки DLL, которая удалила и выполнила другую DLL, «Inkpad_honeymoon.msp».
Это привело к установлению лоадера Matanbuchus. Если VBS был запущен, он использовал PowerShell для загрузки и запуска лоадера DarkGate
Более подробно тут и на vx-underground
Советую использовать приватные лоадеры и стилак( или ратник) если скил позволяет
похоже как будто это репорт от thedfirreport
с vx-underground и линка, который закрепил) спс за линк thedfirreport
там кучу репортов по рансомвар атакам, читай на здоровье