Post #1163

ЭВОЛЮЦИЯ КИБЕРПОДРАЗДЕЛЕНИЙ ИРАНАЧАСТЬ 2 VOID MANTICORE И HANDALA HACK TEAM (2023–2025 гг.): Группы Void Manticore и Handala Hack Team, открыто действовали на платформах Telegram, используя как компонент более широких психологических операций и информационной войны: - Программы BiBi, Hatef и Hamsa: появление этих семейств программ подчеркнуло важную техническую эволюцию: кроссплатформенность. Если раньше такие программы были ориентированы исключительно на Windows, то группы развернули основанную на .NET программу Hatef для Windows, а также основанные на Bush программы Hamsa и BiBi, нацеленные на серверы Linux. - Уничтожение на уровне файлов: технически, эти варианты отошли от сложных методов стирания MBR, использовавшихся в эпоху Shamoon. Вместо этого они выбрали быстрое, рекурсивное уничтожение на уровне файлов, перезаписывая целевые файлы блоками случайных данных размером 4096 байт. - MultiLayer и BFG Agonizer: Одновременно с этим, совместное развертывание Agonizing Serpens и Boggy Serpens (также известных как MuddyWater) привело к появлению высокомодульных очистителей, таких как MultiLayer и BFG Agonizer. В ходе этих операций часто использовались легитимные инструменты удаленного мониторинга и управления (RMM) для масштабного распространения полезной нагрузки. VOID MANTICORE И HANDALA HACK TEAM (2026 г.): - Эксплуатация систем управления мобильными устройствами (MDM): Основной вектор основан на компрометации привилегированных учетных записей, имеющих доступ к облачным консолям управления, таким как платформы MDM/RMM. - Злоупотребление встроенными командами: после получения административного доступа группы используют легитимные встроенные функции — в частности, встроенные команды удаленного удаления данных или сброса к заводским настройкам. Распространяя эти команды по всей управляемой сети, группы могут одновременно удалить данные с сотен тысяч корпоративных ноутбуков, серверов и мобильных устройств (включая оборудование BYOD) в глобальных сетях. - Скрытая зона EDR: поскольку не внедряется традиционное ПО для удаления данных и не запускаются аномальные процессы записи на диск неизвестным исполняемым файлом, платформы EDR и антивирусные программы могут оставаться в значительной степени невосприимчивыми к этой активности. Данная методология обеспечивает беспрецедентный масштаб и скорость. Она устраняет необходимость в трудоемких процессах разработки, тестирования и обновления специализированных семейств вредоносных программ, гарантируя при этом последствия для оперативных возможностей целевой системы.