АРПП "Отечественный софт"Центр Компетенций по импортозамещению в сфере ИКТ
О проекте Вход

SC SIEM Q2-обновление: более 1200 новых индикаторов — стилеры, RAT, фишинг и подделка обновлений ViPNet

15.09.2025

Во II квартале 2025 года команда ИТБ и подразделение CRATU пополнили базу Security Capsule SIEM (SC SIEM) свыше 1200 уникальными индикаторами компрометации (IOC). Новые правила корреляции охватывают актуальные тактики, техники и процедуры (TTPs), в том числе действия APT-группировок и массовые фишинговые кампании.

Что мы нашли? И от кого?

За квартал были проанализированы артефакты, связанные с деятельностью более 20 группировок, включая:

  • Vengeful Wolf, Core Werewolf, Rare Werewolf, Watch Wolf, Silent Werewolf, Sticky Werewolf
  • PhantomCore, BO Team, TaxOff, Team46, APT-C-56
  • Киберпартизаны и иные неизвестные участники

Типичные инструменты атакующих:

  • Трояны удаленного доступа: Revenge RAT, DarkWatchman, AsyncRAT, XWorm, AveMaria RAT, VenomRAT
  • Стилеры: SnakeKeylogger, DISGOMOJI, Katz Stealer, DeerStealer, XDigo, Stealerium
  • Загрузчики: TaxOff Loader, Team46 Loader, ETDownloader, DarkGate
  • Бэкдоры: PhantomPyramid, BrockenDoor, Remcos, GreqBackdoor, Vasilek
  • Маскировка под ViPNet и легитимные приложения

Тактики и техники (MITRE ATT&CK)

Всё обновление построено на базе MITRE ATT&CK и покрывает:

  • Фишинг: T1566.001 Email Attachment, T1566.002 Link, T1204.002 Malicious File, T1219 Remote Access Software
  • Загрузка и установка: T1059.001 PowerShell, T1203 Exploitation for Client Execution
  • Удалённый доступ и управление: T1105 Ingress Tool Transfer, T1027 Obfuscated Files or Information

Конкретные IOC: чего опасаться?

Домены и IP-адреса, использовавшиеся в C2-инфраструктуре, распространении вредоносных приложений и фишинге:

  • myhost.servepics.com:8813, xa-it.ru, supportsecure.ru, katz-stealer.com, updatesioa.ru, updatecanonical.ru, dzeninfra.site, barrelize.org, gov-by.com
  • IP: 185.185.70.85, 194.190.152.251, 103.219.153.203, 31.177.109.39, 46.202.153.236

URL, маскирующиеся под Google Drive, PDF, Telegra.ph и легитимные сервисы:

  • hxxps://drive.google.com/uc?export=download&id=...
  • hxxps://luckyseaworld.com/nownow.txt
  • hxxps://barrelize.org/playhouse/.../curling

Хэши образцов (SHA256, MD5) — стилеры, RAT, бэкдоры и криптолокеры:

  • SnakeKeylogger: c079464a0e8c088deba1d4fba8b0c7de...
  • DISGOMOJI: 452cd18570471e80dd6bf34addede334...
  • Katz Stealer: e4249cf9557799e8123e0b21b6a4be5a...
  • DeerStealer: 3a03afc1313854359603522e0792f6a8...
  • Remcos, DarkGate, Vasilek: десятки уникальных хэшей, связанных с заражением

Что получают пользователи SC SIEM?

Обновлённые правила корреляции с автоматической категоризацией:

  • По TTP (MITRE)
  • По группировкам
  • По инструментам атаки

Поддержку атрибуции атак и угрозоориентированной аналитики прямо в консоли SC SIEM

Поддержание соответствия требованиям ФСТЭК России, включая 17 и 239 приказы, требования к ГИС, ИСПДн и КИИ

Ценность этих IOC

  • Обеспечивают превентивное детектирование фишинговых атак до запуска вредоносного кода
  • Позволяют выявить специфические кампании: от фейковых обновлений ViPNet до RAT-сессий, маскирующихся под службу поддержки
  • Служат триггером для автоматического реагирования и запуска SOAR-скриптов в SC SIEM
  • Формируют аналитическую базу для отчётности по ГоссОПКА и ведомственным системам мониторинга
Источник: Официальный сайт Вендора