Skip to content

Mistic-Backdoor: Initial-Access-Broker kasutab Microsofti Defenderi faili tungimiseks

Kokkuvõte: Mistic-Backdoor kasutab DLL-sideloading’ut allkirjastatud Microsofti Defenderi faili kaudu mälupõhiseks kooditeostuseks ja ühendab muutuses püsimise võimeid identimisteabe varastamise võimetega.

Symanteci uurijad on tuvastanud uue Mistic-nimise backsturi, mida on threat-actor rühmitus Woodgnat (KongTuke) kasutanud alates aprillist. Mistic toimib algpääsumehhanismina ransomware-gangsitele, kellele Woodgnat võrguligipääsu müüb.

Mistic’i on enterprise-sissetungijate juures tuvastatud alates aprillist 2024 mitmes tööstuses: kindlustus, haridus, IT ja professionaalsed teenused. Mõnel juhul töötab backstuur ModeloRAT’iga koos, Pythoniga kirjutatud malware, mis on omistatud Woodgnatile. Symantec täheldas ModeloRAT’t Qilin-ransomware’i levitamisel.

Infiltratsiooni meetod kasutab DLL-sideloading’ut: ründajad levitavad MpExtMs.exe’i, Microsofti Defenderi digitaalselt allkirjastatud faili. See täidetav otsib version.dll’i, mis omakorda laadib EndpointDlp.dll’i — tegelikkuses Mistic-Backdoor’i enda. Kood täidetakse täielikult mälus ilma faile kettale jätmata. Täiendavad funktsioonid hõlmavad failihaldust (kirjutamine, kustutamine, teisaldamine), failiedastust C2-serveriga ning kill-switch’i varjatud püsimiseks.

Woodgnat opereerib alates maist 2024 ja on kahe aasta jooksul tarninud mitutele ransomware-gangstele: Interlock, Rhysida, Akira, 8Base ja Black Basta. Algne kompromissioon toimub peamiselt ClickFix-kampaaniate kaudu, mis sunnivad kasutajaid käivitama PowerShell-käske valetäites CAPTCHA-testidele või krahhi simulatsioonidele. Alates aprillist kasutab Woodgnat ka Microsofti Teams’i, et esindada IT-tuge ja juhendada ohvrite kaudu ohtlike copy-paste’i sekventsidega.

Algse nakatumise järel profileerib Woodgnat masinaid, et hinnata nende väärtust müügiks. Mälupõhise teostamise ja ise välja töötatud backsturi kasutamine tähistab trendi: initial-access-brokered pöörduvad tagasi kohandatud malware’i juurde pühtades “Living-of-the-Land” taktikate asemel.


Allikas: www.csoonline.com · Avaldatud 25. juuni 2026
Lumi AI News — tehisintellekti abil kuraatoritud vastavalt EU AI Acti art. 50. Parafraas ja klassifikatsioon Lumi News Pipeline v1.7.1 kaudu.

Share on: