Маппинг техник из перечня ФСТЭК России на техники MITRE ATT@CK

Иностранные хакерские группировки, атакующие цели на территории России

Группы

Название: Darkhotel

 

Предполагаемая страна происхождения группы:

Южная Корея

 

Типы целей:

 

Автомобилестроение, предприятия ВПК, производство электроники, разведывательные службы, правоохранительные органы, военные, некоммерческие организации, фармацевтика, частные компании.

Используемые хакерские приемы (тактики):

ID MITRE ATT@CK​​ Название ID из перечня ФСТЭК Описание
Т3.14. Планирование запуска вредоносных программ при старте операционной системы путем эксплуатации стандартных механизмов, в том числе путем правки ключей реестра, отвечающих за автоматический запуск программ, запуска вредоносных программ как сервисов и т.п.
Запись в ключ реестра Run.
Т3.7. Подмена файлов легитимных программ и библиотек непосредственно в системе.
Сохранение ярлыка mspaint.lnk на диск, который запускает скрипт, загружающий и выполняющий файл.
T1140 Deobfuscate/Decode Files or Information Т7.17. Обфускация, шифрование, упаковка с защитой паролем или сокрытие стеганографическими методами программного кода вредоносного ПО, данных и команд управляющего трафика, в том числе при хранении этого кода и данных в атакуемой системе, при хранении на сетевом ресурсе или при передаче по сети Используется RC4 для расшифровки строк в ходе выполнения программы.
Используется RC4 для расшифровки строк в ходе выполнения программы.
Т2.12. Использование доступа к системам и сетям, предоставленного сторонним организациям, в том числе через взлом инфраструктуры этих организаций, компрометацию личного оборудования сотрудников сторонних организаций, используемого для доступа. Пример: использование доступа третьей доверенной стороны (поставщики ИТ-услуг, поставщики услуг безопасности)
Встраивание iframe в порталы отелей для загрузки вредоносного ПО.

Используемое вредоносное программное обеспечение:

• AppleJeus
• AuditCred
• BADCALL
• Bankshot
• BLINDINGCAN
• Cryptoistic
• Dacls
• Dtrack
• ECCENTRICBANDWAGON
• FALLCHILL
• HARDRAIN
• HOPLIGHT
• HotCroissant
• KEYMARBLE
• Mimikatz
• netsh
• Proxysvc
• RATANKBA
• RawDisk
• TAINTEDSCRIBE
• Volgmer
• WannaCry

Настоящая база данных носит неофициальный характер и содержит общеизвестные данные о хакерских группировках, полученные из источников, к которым доступ не ограничен.
Ресурс предназначен исключительно для учебных целей по подготовке киберучений по отражению кибератак на объекты КИИ при соблюдении ограничений, установленных законодательством Российской Федерации и иных стран.