Angler Exploit Kit существует с 2013 года. Angler хорошо известен в хакерской среде, так как является одним из наиболее агрессивных и эффективных механизмов проникновения на машину жертвы. Он ищет любые бреши и использует для атак HTML, JavaScript, Flash, Silverlight, Java и пр., при этом стараясь избегать обнаружения антивирусным ПО.
Angler Exploit Kit
Angler – довольно эффективный инструмент, т.к. он поражает порядка 40% столкнувшихся с ним пользователей. В основном Angler использует давно известные баги в браузерах и плагинах к ним (Adobe Flash Player, Java и др.), но порой обновляется, и его арсенал пополняется 0day-уязвимостями.
Angler пытается обойти обнаружение на каждом уровне. Чтобы обойти репутационную фильтрацию, он быстро меняет имена хостов и IP-номера, а также использует теневое копирование доменов, чтобы использовать легитимные домены. Чтобы обойти обнаружение содержимого, компоненты, задействованные в Angler, динамически генерируются для каждой потенциальной жертвы с использованием различных методов кодирования и шифрования. Наконец, Angler использует обфускацию и уловки, препятствующие сбору и анализу образцов.
Indicators of Compromise
IPv4
- 46.30.46.38
- 50.62.123.1
- 62.221.204.114
- 69.162.116.123
- 69.162.116.125
- 69.162.64.156
- 69.162.64.158
- 69.162.86.36
- 69.162.90.107
- 75.103.83.9
SHA256
- 003156c92d99aa8bca0f7bc443a03f32a8ce5e26e940f6681747abbc44e1409c
- 56f61bd84f6851dcd749c95ebcbc94b7814bedb12ae72db776e3c27d4be43ef8
- 6e2d96990f92864c81277ed3291d79c27e0c326df43eccb050058cc3b1705ade
- ca0cd15e28620dcb1b2fb5d29fb6daaa88346d8775139607bd9d2f583415e7b8
TTP - тактика, техника, процедуры
Тактика, методы и процедуры (TTP) обобщают предполагаемые методы MITRE ATT&CK, используемые Angler Exploit Kit.
| ID | Техника | CWE | Описание | Доверие |
| 1 | T1006 | CWE-22 | Обход имени пути | Высокий |
| 2 | T1055 | CWE-74 | Инъекция | Высокий |
| 3 | T1059 | CWE-94 | Межсайтовый скриптинг | Высокий |