Викурення афілійованої особи: SmokedHam, Qilin, кілька оголошень Google і трохи bossware

graph TB classDef action fill:#99ccff classDef malware fill:#ff6666 classDef tool fill:#cccccc classDef service fill:#ffd966 classDef impact fill:#ff9999 action_initial[“<b>Дія</b> – T1659 Впровадження контенту (Malvertising)<br/>Шкідливий інсталятор, замаскований під RVTools/Remote Desktop Manager”] class action_initial action action_user_exec[“<b>Дія</b> – T1204 Виконання користувачем<br/>Жертва запускає інсталятор”] class action_user_exec action malware_smokedham[“<b>Шкідливе ПЗ</b> – T1127 Виконання через довірені утиліти розробника<br/>Бекдор SmokedHam встановлено”] class malware_smokedham malware action_embedded_payload[“<b>Дія</b> – T1027.009 Вбудовані payload-и<br/>SmokedHam прихований у легітимній утиліті”] class action_embedded_payload action action_polymorphic[“<b>Дія</b> – T1027.014 Поліморфний код<br/>Використання packing і мутації коду”] class action_polymorphic action action_rat[“<b>Дія</b> – T1219 Віддалені інструменти доступу<br/>SmokedHam встановлює C2 через легітимні інструменти”] class action_rat action tool_putty[“<b>Інструмент</b> – PuTTY<br/>SSH клієнт для C2”] class tool_putty tool tool_kitty[“<b>Інструмент</b> – KiTTY<br/>SSH клієнт-варіант”] class tool_kitty tool tool_zoho[“<b>Інструмент</b> – Zoho Assist<br/>Remote support для C2”] class tool_zoho tool action_c2_comm[“<b>Дія</b> – T1102.001/002/003 Комунікація<br/>C2 через Cloudflare Workers та AWS”] class action_c2_comm action service_cloudflare[“<b>Сервіс</b> – Cloudflare Workers”] class service_cloudflare service service_aws[“<b>Сервіс</b> – AWS”] class service_aws service action_tunnel[“<b>Дія</b> – T1572 Протокольний тунелювання<br/>Трафік через легітимні сервіси”] class action_tunnel action action_ssh_hijack[“<b>Дія</b> – T1563.001 Перехоплення SSH сесій<br/>Використання викрадених облікових даних”] class action_ssh_hijack action action_rdp_hijack[“<b>Дія</b> – T1563.002 Перехоплення RDP сесій”] class action_rdp_hijack action action_exploit_remote[“<b>Дія</b> – T1210 Експлуатація віддалених сервісів<br/>Латеральний рух всередині мережі”] class action_exploit_remote action action_input_capture[“<b>Дія</b> – T1056.003 Захоплення введення<br/>Збір облікових даних через вебпортал”] class action_input_capture action action_account_manip[“<b>Дія</b> – T1098.004 Маніпуляція обліковими записами<br/>Додавання SSH ключів для персистентності”] class action_account_manip action malware_qilin[“<b>Шкідливе ПЗ</b> – Qilin Ransomware<br/>Шифрує дані жертви”] class malware_qilin impact action_initial –>|призводить до| action_user_exec action_user_exec –>|призводить до| malware_smokedham malware_smokedham –>|призводить до| action_embedded_payload action_embedded_payload –>|призводить до| action_polymorphic action_polymorphic –>|призводить до| action_rat action_rat –>|використовує| tool_putty action_rat –>|використовує| tool_kitty action_rat –>|використовує| tool_zoho action_rat –>|комунікує через| action_c2_comm action_c2_comm –>|використовує| service_cloudflare action_c2_comm –>|використовує| service_aws action_c2_comm –>|активує| action_tunnel action_tunnel –>|активує| action_ssh_hijack action_ssh_hijack –>|активує| action_rdp_hijack action_rdp_hijack –>|активує| action_exploit_remote action_exploit_remote –>|активує| action_input_capture action_input_capture –>|активує| action_account_manip action_account_manip –>|активує| malware_qilin

Потік Атаки