Операція Dragon Weave використовує Azure Cloud C2 для націлювання на Чеську Республіку та Тайвань

graph TB %% Class Definitions Section classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef file fill:#ddffdd classDef process fill:#ffeb99 classDef operator fill:#ff9900 %% Nodes attack_phishing[“<b>Дія</b> – <b>T1566.001 Цільове фішингове вкладення</b><br/>Зловмисник надсилає жертвам електронною поштою шкідливий ZIP-архів.”] class attack_phishing action file_zip[“<b>Файл</b> – malicious.zip<br/>Містить ярлик .lnk та дропер .exe, скомпільований мовою Rust.”] class file_zip file action_user_exec[“<b>Дія</b> – <b>T1204.001 Виконання користувачем</b><br/>Жертва відкриває файл .lnk або запускає .exe, що запускає ланцюг виконання дропера.”] class action_user_exec action file_lnk[“<b>Файл</b> – payload.pdf.lnk<br/>Ярлик використовує подвійне розширення та іконку Edge, щоб виглядати безпечним.”] class file_lnk file tool_wscript[“<b>Інструмент</b> – wscript.exe<br/>Виконує VBScript-пейлоад.”] class tool_wscript tool file_vbs[“<b>Файл</b> – empty.vbs<br/>Мінімалістичний VBScript, який запускає PowerShell.”] class file_vbs file action_vbscript[“<b>Дія</b> – <b>T1059.005 Visual Basic</b><br/>VBScript запускається через wscript для запуску PowerShell.”] class action_vbscript action action_powershell[“<b>Дія</b> – <b>T1059.001 PowerShell</b><br/>Profile.ps1 виконується з обходом політики виконання та розшифровує наступний етап атаки.”] class action_powershell action file_dat[“<b>Файл</b> – 1.dat<br/>Контейнер, зашифрований XOR, який містить RuntimeBroker_update.exe.”] class file_dat file process_runtime[“<b>Процес</b> – RuntimeBroker_update.exe<br/>Розшифровується з 1.dat; завантажує шкідливу UnityPlayer.dll через DLL side-loading.”] class process_runtime process file_dll[“<b>Файл</b> – UnityPlayer.dll<br/>Шкідлива DLL, розміщена поруч із RuntimeBroker_update.exe.”] class file_dll file action_dll_sideload[“<b>Дія</b> – <b>T1546.009 DLL AppCert</b><br/>DLL side-loading забезпечує виконання коду.”] class action_dll_sideload action tool_rustloader[“<b>Інструмент</b> – Завантажувач Rust (RUSTCLOAK)<br/>Виділяє пам’ять, записує розшифрований PE-файл AZUREVEIL та виконує його через Windows Fibers.”] class tool_rustloader tool action_process_injection[“<b>Дія</b> – <b>T1055.002 Впровадження в процес</b><br/>PE-ін’єкція з використанням Windows Fibers.”] class action_process_injection action file_azureveil[“<b>Файл</b> – AZUREVEIL.exe<br/>Розшифрований пейлоад, який виконується після ін’єкції.”] class file_azureveil file action_discovery[“<b>Дія</b> – <b>T1083 Виявлення файлів і каталогів</b><br/>Завантажувач перелічує файли та переміщує їх до %TEMP%.”] class action_discovery action action_network_discovery[“<b>Дія</b> – <b>T1016 Виявлення конфігурації мережі системи</b><br/>Збирає MAC- та IP-адреси для використання проксі та латерального переміщення.”] class action_network_discovery action action_c2[“<b>Дія</b> – <b>T1102 Вебсервіс</b><br/>Встановлює зв’язок з Azure Blob Storage через HTTPS.”] class action_c2 action action_dead_drop[“<b>Дія</b> – <b>T1102.003 Односторонній зв’язок</b><br/>Завантажує beacon-blob та отримує команди з того самого контейнера.”] class action_dead_drop action action_encrypted_channel[“<b>Дія</b> – <b>T1573.001 Зашифрований канал</b><br/>Дані beacon та команд шифруються за допомогою власної реалізації RC4 і SM4-CBC.”] class action_encrypted_channel action action_exfil[“<b>Дія</b> – <b>T1567.002 Ексфільтрація через вебсервіс</b><br/>Завантажує зашифровані дані до кінцевої точки Azure Blob.”] class action_exfil action action_persistence[“<b>Дія</b> – <b>T1547.009 Модифікація ярликів</b><br/>Розміщує шкідливий файл .lnk у папках автозапуску для забезпечення персистентності.”] class action_persistence action %% Edges attack_phishing –>|доставляє| file_zip file_zip –>|запускає| action_user_exec action_user_exec –>|відкриває| file_lnk file_lnk –>|виконує| tool_wscript tool_wscript –>|запускає| file_vbs file_vbs –>|ініціює| action_vbscript action_vbscript –>|запускає| action_powershell action_powershell –>|розшифровує| file_dat file_dat –>|створює| process_runtime process_runtime –>|завантажує| file_dll file_dll –>|використовується для| action_dll_sideload process_runtime –>|виконує| action_process_injection action_process_injection –>|використовує| tool_rustloader tool_rustloader –>|завантажує| file_azureveil file_azureveil –>|виконує| action_discovery action_discovery –>|також виконує| action_network_discovery action_network_discovery –>|надсилає дані до| action_c2 action_c2 –>|використовує| action_dead_drop action_dead_drop –>|покладається на| action_encrypted_channel action_encrypted_channel –>|забезпечує| action_exfil action_exfil –>|може спричинити| action_persistence file_lnk –>|створює| action_persistence %% Class Assignments class attack_phishing action class file_zip file class action_user_exec action class file_lnk file class tool_wscript tool class file_vbs file class action_vbscript action class action_powershell action class file_dat file class process_runtime process class file_dll file class action_dll_sideload action class tool_rustloader tool class action_process_injection action class file_azureveil file class action_discovery action class action_network_discovery action class action_c2 action class action_dead_drop action class action_encrypted_channel action class action_exfil action class action_persistence action

Потік атаки