Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

UNC5174: Discord API для C2 и поэтапное развертывание бэкдоров

2 мин
Эксперты выявили группу UNC5174, которая применяет бэкдор вредоносного ПО и использует Discord API для создания системы командования и контроля (C2). Этот подход обеспечивает злоумышленникам устойчивый удалённый контроль над скомпрометированными системами и демонстрирует эволюцию тактик закрепления и уклонения от обнаружения. Тактика UNC5174 предполагает поэтапное закрепление в сети: сначала злоумышленники получают «верхний» доступ через известные бэкдоры, например vshell, затем заменяют или дополняют их более изощрёнными и малозаметными версиями. Такой переход от заметных к скрытым инструментам показывает понимание принципов OPSEC и стремление сохранить доступ надолго. «использует Discord API для создания системы командования и контроля (C2)» Использование Discord в роли канала C2 особенно примечательно: платформа широко распространена, её трафик часто считается нормальным, и это даёт злоумышленникам эффективный способ обхода систем мониторинга. Действия UNC5174 подчёркивают, что злоу
Оглавление

Эксперты выявили группу UNC5174, которая применяет бэкдор вредоносного ПО и использует Discord API для создания системы командования и контроля (C2). Этот подход обеспечивает злоумышленникам устойчивый удалённый контроль над скомпрометированными системами и демонстрирует эволюцию тактик закрепления и уклонения от обнаружения.

Ключевые моменты расследования

  • Группа последовательно разворачивает различные типы бэкдоров после первоначального вторжения, достигая долгосрочного доступа к сетям.
  • Первоначальный доступ часто осуществляется с помощью ранее установленных бэкдоров, таких как vshell.
  • После установки исходного бэкдора злоумышленники внедряют новые варианты, ориентированные на более эффективное уклонение от обнаружения — от «более заметного» к «более скрытому» исполнению.
  • Использование Discord API для операций C2 позволяет злоумышленникам маскировать вредоносную активность под легитимный трафик и инфраструктуру сторонней платформы.

Как работает методология

Тактика UNC5174 предполагает поэтапное закрепление в сети: сначала злоумышленники получают «верхний» доступ через известные бэкдоры, например vshell, затем заменяют или дополняют их более изощрёнными и малозаметными версиями. Такой переход от заметных к скрытым инструментам показывает понимание принципов OPSEC и стремление сохранить доступ надолго.

«использует Discord API для создания системы командования и контроля (C2)»

Использование Discord в роли канала C2 особенно примечательно: платформа широко распространена, её трафик часто считается нормальным, и это даёт злоумышленникам эффективный способ обхода систем мониторинга.

Последствия и наблюдаемые тенденции

  • Рост использования легитимных облачных и коммуникационных платформ для сокрытия C2-каналов.
  • Усиление внимания к многоэтапным сценариям атак, где первоначальный инструмент заменяется более скрытными модификациями.
  • Необходимость пересмотра подходов к детектированию: простая проверка сигнатур становится менее эффективной против адаптирующихся семейства бэкдоров.

Короткие выводы

Действия UNC5174 подчёркивают, что злоумышленники всё активнее используют хорошо известные платформы и поэтапные схемы развертывания вредоносных компонентов, чтобы обеспечить длительный, малозаметный доступ к сетям. Защитникам следует учитывать эту динамику при проработке стратегий обнаружения и реагирования.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "UNC5174: Discord API для C2 и поэтапное развертывание бэкдоров".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Технологии в финансах
65 тыс интересуются