Mandiant

APT44 - динамичная и оперативно зрелая угроза, активно участвующая в полном спектре операций по шпионажу, атакам и влиянию.

В конце февраля APT29 использовала новый вариант бэкдора, публично отслеживаемый как WINELOADER, для атак на немецкие политические партии с помощью приманки на тему CDU.

Компания Mandiant опубликовала сообщение в своем блоге о предполагаемой шпионской деятельности, связанной с Ираном, направленной на аэрокосмическую, авиационную и оборонную промышленность в странах Ближнего Востока, включая Израиль и Объединенные Арабские Эмираты (ОАЭ), а также Турцию, Индию и Албанию.

Компания Mandiant и Ivanti проводят расследование масштабной эксплуатации уязвимостей в продуктах Ivanti, включая сектор оборонно-промышленной базы. Обнаружено, что эксплуатирующие уязвимости субъекты связаны с Китаем. Уязвимости используют методы live-off-the-land (LotL) для уклонения от обнаружения

Компания Mandiant Managed Defense отслеживает UNC4990, агента, который активно использует USB-устройства для первоначального заражения. UNC4990 в основном нацелен на пользователей из Италии и, вероятно, руководствуется финансовыми соображениями. Согласно нашим исследованиям, эта кампания ведется по меньшей мере с 2020 года.

12 января 2024 года компания Mandiant опубликовала в своем блоге сообщение о двух уязвимостях нулевого дня, CVE-2023-46805 и CVE-2024-21887, затрагивающих устройства Ivanti Connect Secure VPN (CS, ранее Pulse Secure) и Ivanti Policy Secure (PS). 31 января 2024 года Ivanti раскрыла две дополнительные

10 января 2024 года компания Ivanti раскрыла две уязвимости, CVE-2023-46805 и CVE-2024-21887, затрагивающие устройства Ivanti Connect Secure VPN ("CS", ранее Pulse Secure) и Ivanti Policy Secure ("PS"). Успешная эксплуатация может привести к обходу аутентификации и внедрению команд, что приведет к дальнейшей компрометации сети жертвы.

UNC2975 - это кластер угроз распространения, который исторически использовал вредоносную рекламу для распространения загрузчика на основе VBScript, отслеживаемого как PAPERDROP. Распространение PAPERDROP с поддельных веб-сайтов UNC2975 в основном привело к развертыванию бэкдора DANABOT на базе Delphi.

Согласно проведенному анализу, вторжение началось в июне 2022 года или ранее и завершилось двумя сбоями 10 и 12 октября 2022 года. Хотя нам не удалось определить вектор первоначального доступа в ИТ-среду, Sandworm получил доступ к ОТ-среде через гипервизор, на котором располагался экземпляр системы управления

Специалисты Mandiant и Google Threat Analysis Group (TAG) зафиксировали увеличение частоты и масштабов фишинговых операций APT29.