Исследовательская группа CYFIRMA Research представила предварительный анализ новой системы пост-эксплуатации под названием EXFILTRATOR-22, также известной как EX-22.
После анализа имеющейся информации можно с уверенностью сказать, что лица, ответственные за создание вредоносной программы, действуют из Северной, Восточной или Юго-Восточной Азии (возможные страны: Китай, Тайвань, Гонконг, Малайзия, Сингапур, Филиппины и т.д.). Эти люди обладают глубокими знаниями о методах уклонения от защиты и антианализа. Они использовали утечку исходного кода систем пост-эксплуатации для разработки собственной модели пост-эксплуатационной системы как услуги. Вероятно, бывшие партнеры LockBit, участники угрозы готовы создать свою собственную партнерскую программу и предлагают агрессивную маркетинговую стратегию - заявляя, что они являются FUD (полностью необнаруживаемыми) всеми производителями антивирусов и EDR.
Indicators of Compromise
IPv4
- 20.99.184.37
- 23.216.147.76
MD5
- 874726830ae6329d3460767970a2f805
SHA1
- eca49c8962c55bfb11d4dc612b275daa85cfe8c3
SHA256
- 32746688a23543e674ce6dcf03256d99988a269311bf3a8f0f944016fe3a931d