П’ять підробних пакетів NuGet UI ділять крипто гаманці та крадуть облікові дані

"graph TB %% Class definitions classDef technique fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccccff classDef data fill:#ccffcc classDef operator fill:#ff9900 %% Nodes – Techniques tech_supply_chain["<b>Техніка</b> – <b>T1195.002 Компрометація ланцюжка поставок</b><br/><b>Опис</b>: Компрометація програмного ланцюжка поставок для впровадження шкідливого коду в легітимні пакети."] class tech_supply_chain technique tech_appdomain_hijack["<b>Техніка</b> – <b>T1574.014 Перехоплення виконання: .NET AppDomain Manager</b><br/><b>Опис</b>: Противники перехоплюють .NET AppDomainManager для виконання коду до запуску запланованого додатка."] class tech_appdomain_hijack technique tech_obfuscation["<b>Техніка</b> – <b>T1027 Маскування файлів або інформації</b><br/><b>Опис</b>: Використання упаковки, шифрування або інших методів для приховування шкідливого коду або даних."] class tech_obfuscation technique tech_trusted_dev_proxy["<b>Техніка</b> – <b>T1127 Проксі виконання довірених утиліт розробника</b><br/><b>Опис</b>: Зловживання легітимними утилітами розробника або менеджерами пакетів для запуску шкідливого коду."] class tech_trusted_dev_proxy technique tech_software_ext["<b>Техніка</b> – <b>T1176 Розширення програм</b><br/><b>Опис</b>: Використання розширень програмного забезпечення або плагінів для отримання виконання."] class tech_software_ext technique tech_process_discovery["<b>Техніка</b> – <b>T1057 Відкриття процесів</b><br/><b>Опис</b>: Перелічення запущених процесів на скомпрометованій системі."] class tech_process_discovery technique tech_file_dir_discovery["<b>Техніка</b> – <b>T1083 Відкриття файлів та каталогів</b><br/><b>Опис</b>: Перелік файлів та каталогів для виявлення цінних даних."] class tech_file_dir_discovery technique tech_browser_info["<b>Техніка</b> – <b>T1217 Відкриття інформації про браузер</b><br/><b>Опис</b>: Збір інформації про встановлені браузери та розширення."] class tech_browser_info technique tech_browser_credentials["<b>Техніка</b> – <b>T1555.003 Облікові дані з веб-браузерів</b><br/><b>Опис</b>: Екстракція збережених паролів, кукі та інших облікових даних з браузерів."] class tech_browser_credentials technique tech_private_keys["<b>Техніка</b> – <b>T1552.004 Незахищені облікові дані: Приватні ключі</b><br/><b>Опис</b>: Визначити та ексфільтрувати приватні SSH ключі та інші криптографічні ключі."] class tech_private_keys technique tech_credentials_files["<b>Техніка</b> – <b>T1552.001 Облікові дані у файлах</b><br/><b>Опис</b>: Пошук облікових даних, збережених у конфігураційних або даних файлах."] class tech_credentials_files technique tech_data_staged_local["<b>Техніка</b> – <b>T1074.001 Дані на локальному рівні</b><br/><b>Опис</b>: Зібрані дані агрегуються на локальному хості перед ексфільтрацією."] class tech_data_staged_local technique tech_data_staged_remote["<b>Техніка</b> – <b>T1074.002 Дані на віддаленому рівні</b><br/><b>Опис</b>: Дані агрегуються у віддаленому розташуванні, такому як хмарне сховище."] class tech_data_staged_remote technique tech_process_injection["<b>Техніка</b> – <b>T1055.001 Впорскування процесу: Ін’єкція бібліотеки динамічних посилань</b><br/><b>Опис</b>: Впорскування шкідливих DLL у легітимні процеси для прихованого виконання."] class tech_process_injection technique tech_sandbox_evasion["<b>Техніка</b> – <b>T1497.002 Уникнення віртуалізації/пісочниці: Перевірка дій користувача</b><br/><b>Опис</b>: Виявлення оточень пісочниці шляхом перевірки відомих імен користувачів або комп’ютерів."] class tech_sandbox_evasion technique tech_c2_web["<b>Техніка</b> – <b>T1071.001 Протокол рівня застосунку: Веб-протоколи</b><br/><b>Опис</b>: Використання HTTP/S для зв’язку з серверами команд та контролю."] class tech_c2_web technique tech_junk_data["<b>Техніка</b> – <b>T1001.001 Мутація даних: Непотрібні дані</b><br/><b>Опис</b>: Додавання випадкових шумів до мережевих пакетів для ускладнення виявлення."] class tech_junk_data technique %% Nodes – Tools and Malware tool_nuget_pkg["<b>Інструмент</b> – <b>Назва</b>: Шкідливий пакет NuGet IR.*<br/><b>Опис</b>: Пакети, опубліковані в NuGet, які імітують легітимні китайські бібліотеки .NET і завантажуються при відновленні."] class tool_nuget_pkg tool tool_dotnet_reactor["<b>Інструмент</b> – <b>Назва</b>: .NET Reactor (Necrobit)<br/><b>Опис</b>: Упаковує та шифрує .NET збірки, додає антикорупційні підписи RSAu20111024."] class tool_dotnet_reactor tool malware_payload["<b>Шкідливе ПЗ</b> – <b>Назва</b>: .NET Reactor Payload<br/><b>Опис</b>: Зашифрована .NET збірка, завантажена ініціалізатором AppDomainManager."] class malware_payload malware tool_sharpinjector["<b>Інструмент</b> – <b>Назва</b>: SharpInjector<br/><b>Опис</b>: .NET інжектор, що виконує впорскування DLL у довгоживучі процеси, такі як explorer.exe."] class tool_sharpinjector tool process_explorer["<b>Процес</b> – <b>Назва</b>: explorer.exe"] class process_explorer process process_dllhost["<b>Процес</b> – <b>Назва</b>: dllhost.exe"] class process_dllhost process data_staged_file["<b>Дані</b> – <b>Шлях</b>: C:ProgramDataMicrosoft OneDrivekeys.dat"] class data_staged_file data %% Flow Connections tech_supply_chain –>|поставляє| tool_nuget_pkg tool_nuget_pkg –>|тригерить| tech_appdomain_hijack tech_appdomain_hijack –>|завантажує| malware_payload malware_payload –>|упаковане| tool_dotnet_reactor tool_dotnet_reactor –>|включає| tech_obfuscation tech_obfuscation –>|полегшує| tech_trusted_dev_proxy tech_trusted_dev_proxy –>|використовує| tech_software_ext tech_software_ext –>|включає| tech_process_discovery tech_process_discovery –>|веде до| tech_file_dir_discovery tech_file_dir_discovery –>|веде до| tech_browser_info tech_browser_info –>|включає| tech_browser_credentials tech_browser_credentials –>|збирає| tech_private_keys tech_private_keys –>|збирає| tech_credentials_files tech_credentials_files –>|зберігає| tech_data_staged_local tech_data_staged_local –>|записує до| data_staged_file data_staged_file –>|синхронізує з| tech_data_staged_remote tech_data_staged_remote –>|використовує| tool_sharpinjector tool_sharpinjector –>|інжектує в| process_explorer tool_sharpinjector –>|інжектує в| process_dllhost process_explorer –>|підтримує| tech_process_injection process_dllhost –>|підтримує| tech_process_injection tech_process_injection –>|перевіряє| tech_sandbox_evasion tech_sandbox_evasion –>|дозволяє| tech_c2_web tech_c2_web –>|передає з| tech_junk_data %% Class Assignments class tech_supply_chain,tech_appdomain_hijack,tech_obfuscation,tech_trusted_dev_proxy,tech_software_ext,tech_process_discovery,tech_file_dir_discovery,tech_browser_info,tech_browser_credentials,tech_private_keys,tech_credentials_files,tech_data_staged_local,tech_data_staged_remote,tech_process_injection,tech_sandbox_evasion,tech_c2_web,tech_junk_data technique class tool_nuget_pkg,tool_dotnet_reactor,tool_sharpinjector tool class malware_payload malware class process_explorer,process_dllhost process class data_staged_file data "

Потік атаки