Post #4175

Окончательный проект Участники REF7707 совершают нападения на ПК через Paint. Одна из таких атак была нацелена на Министерство иностранных дел неназванной южноамериканской страны. Специалисты выяснили, что группировка загружала файлы с сервера ведомства с использованием утилиты certutil, команды которой выполнялись через Windows Remote Management. Атака активировалась с помощью троянца PATHLOADER, позволяющего загружать зашифрованный шелл-код и запускать FINALDRAFT. Бэкдор мог выполнить 37 команд, в том числе создание прокси и скрытое управление заражёнными системами. Кроме того, малварь использовал компонент набора инструментов PowerPick, чтобы обойти контроль Windows и реализовать команды PowerShell. Так бэкдор превращает безобидный Paint в инструмент для взлома. Подобным образом через popen работает и версия FINALDRAFT для Linux. С помощью этой схемы участники группировки также атаковали госучреждения США, Юго-Восточной Азии и Бразилии. НеКасперский