Вимагач Chaos і загроза з боку держави, пов’язана з ним

"graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef file fill:#aaffaa classDef process fill:#ffcc99 classDef malware fill:#ff9999 %% Nodes – Actions action_initial_access["<b>Дія</b> – <b>T1566 Фішинг</b><br/>Нападник відправив шкідливі повідомлення Microsoft Teams, що заманювали користувачів на фальшиву сесію з розділенням екрану Quick Assist."] class action_initial_access action action_user_exec_link["<b>Дія</b> – <b>T1204.001 Виконання користувачем: Шкідливе посилання</b><br/>Жертви клікнули на шкідливе посилання, доставлене через Teams, що ініціювало завантаження <i>ms_upd.exe</i>."] class action_user_exec_link action action_user_exec_copypaste["<b>Дія</b> – <b>T1204.004 Виконання користувачем: Шкідливе копіювання-вставка</b><br/>Атакуючі інструктували користувачів копіювати-вставляти облікові дані у локально створені текстові файли."] class action_user_exec_copypaste action action_cred_access["<b>Дія</b> – <b>T1552.008 Незахищені облікові дані</b> & <b>T1078 Дійсні облікові записи</b><br/>Зібрані облікові дані з чатів і використані для входу до внутрішніх систем."] class action_cred_access action action_auth_mod["<b>Дія</b> – <b>T1556.001 Аутентифікація контролера домену</b><br/>Скомпрометовані облікові дані були використані для аутентифікації до контролеру домену, що дозволило отримати привілейований доступ."] class action_auth_mod action action_discovery["<b>Дія</b> – <b>T1082 Виявлення інформації про систему</b> & <b>T1016 Виявлення мережевої конфігурації системи</b><br/>Шкідливе програмне забезпечення зібрало ім’я хоста, ім’я користувача, домен, IP-адресу за допомогою ipconfig, whoami тощо."] class action_discovery action action_ingress_transfer["<b>Дія</b> – <b>T1105 Імпорт інструментів</b><br/><i>ms_upd.exe</i> завантажив додаткові компоненти (WebView2Loader.dll, Game.exe, visualwincomp.txt) за допомогою curl."] class action_ingress_transfer action action_execution["<b>Дія</b> – <b>T1059 Командний та скриптовий інтерпретатор</b><br/>Атакуючий виконав cmd.exe, PowerShell та pythonw.exe для запуску завантажених бінарних файлів."] class action_execution action action_process_injection["<b>Дія</b> – <b>T1055.011 Впорскування пам’яті додаткового вікна</b> & <b>T1055.002 Впорскування портативного виконуваного файлу</b><br/>pythonw.exe ін’єктував код у призупинені процеси, щоб запустити RAT непомітно."] class action_process_injection action action_defense_evasion["<b>Дія</b> – <b>T1027 Обфусковані файли або інформація</b> & <b>T1497 Віртуалізація/ухилення від пісковика</b><br/>Завантаження закодовано XOR, зашифровано AES‑256‑GCM; перевірки на аналіз DLL, ідентифікатори VM та перевірка часу для уникнення детекції в пісковику."] class action_defense_evasion action action_persistence["<b>Дія</b> – <b>T1219 Інструменти віддаленого доступу</b><br/>Розгортання служби DWAgent та AnyDesk для довготривалого віддаленого управління."] class action_persistence action action_lateral_movement["<b>Дія</b> – <b>T1563 Захоплення сесії віддаленої служби (RDP)</b> & <b>T1668 Виключний контроль</b><br/>Використані легітимні сесії RDP для переміщення в латеральному напрямку та виконання команд на додаткових хостах."] class action_lateral_movement action action_collection_exfil["<b>Дія</b> – <b>T1560 Архівація зібраних даних</b> & <b>T1041 Експілтрація через C2‑канал</b><br/>Дані архівовані у XOR‑зашифрованому архіві та завантажені на uploadfiler.com."] class action_collection_exfil action action_c2["<b>Дія</b> – <b>T1090 Проксі</b> & <b>T1573 Зашифрований канал</b><br/>Комунікація з інфраструктурою C2 (moonzonet.com, uploadfiler.com) через HTTPS із зашифрованими завантаженнями."] class action_c2 action %% Nodes – Tools / Files / Processes / Malware file_ms_upd["<b>Файл</b> – <b>Ім’я</b>: ms_upd.exe<br/><b>Опис</b>: Початковий завантажувач, що отримує додаткові компоненти."] class file_ms_upd file file_webview["<b>Файл</b> – <b>Ім’я</b>: WebView2Loader.dll<br/><b>Опис</b>: Підтримуючий DLL для відображення веб-контенту."] class file_webview file file_game["<b>Файл</b> – <b>Ім’я</b>: Game.exe<br/><b>Опис</b>: Вторинний компонент, виконуваний після завантаження."] class file_game file file_visual["<b>Файл</b> – <b>Ім’я</b>: visualwincomp.txt<br/><b>Опис</b>: Текстовий файл, що використовується для даних конфігурації."] class file_visual file process_cmd["<b>Процес</b> – <b>Ім’я</b>: cmd.exe<br/><b>Призначення</b>: Виконує інструкції командного рядка."] class process_cmd process process_ps["<b>Процес</b> – <b>Ім’я</b>: PowerShell<br/><b>Призначення</b>: Запускає скрипти PowerShell для виконання завдань."] class process_ps process process_python["<b>Процес</b> – <b>Ім’я</b>: pythonw.exe<br/><b>Призначення</b>: Виконує компоненти на основі Python та виконує впорскування в процеси."] class process_python process malware_dwaga["<b>Шкідливе програмне забезпечення</b> – <b>Ім’я</b>: Служба DWAgent<br/><b>Призначення</b>: Забезпечує постійний віддалений доступ."] class malware_dwaga malware tool_anydesk["<b>Інструмент</b> – <b>Ім’я</b>: AnyDesk<br/><b>Опис</b>: Легітимна утиліта віддаленого робочого столу, що використовується для збереження та латерального переміщення."] class tool_anydesk tool %% Connections – Потік action_initial_access –>|leads_to| action_user_exec_link action_user_exec_link –>|downloads| file_ms_upd action_user_exec_link –>|leads_to| action_user_exec_copypaste action_user_exec_copypaste –>|provides| action_cred_access action_cred_access –>|enables| action_auth_mod action_auth_mod –>|enables| action_discovery action_discovery –>|triggers| action_ingress_transfer action_ingress_transfer –>|downloads| file_webview action_ingress_transfer –>|downloads| file_game action_ingress_transfer –>|downloads| file_visual action_ingress_transfer –>|leads_to| action_execution action_execution –>|executes| process_cmd action_execution –>|executes| process_ps action_execution –>|executes| process_python process_python –>|injects| action_process_injection action_process_injection –>|facilitates| action_defense_evasion action_defense_evasion –>|enables| action_persistence action_persistence –>|installs| malware_dwaga action_persistence –>|installs| tool_anydesk malware_dwaga –>|supports| action_lateral_movement tool_anydesk –>|supports| action_lateral_movement action_lateral_movement –>|collects| action_collection_exfil action_collection_exfil –>|exfiltrates via| action_c2 %% Стилінг класів class action_initial_access,action_user_exec_link,action_user_exec_copypaste,action_cred_access,action_auth_mod,action_discovery,action_ingress_transfer,action_execution,action_process_injection,action_defense_evasion,action_persistence,action_lateral_movement,action_collection_exfil,action_c2 action class file_ms_upd,file_webview,file_game,file_visual file class process_cmd,process_ps,process_python process class malware_dwaga malware class tool_anydesk tool "

Потік Атаки