| Contesto |
Una campagna sofisticata implementa diverse backdoor malware personalizzate per stabilire punti d'appoggio nella rete. Queste varianti uniche garantiscono la persistenza a lungo termine attivando silenziosamente il beaconing per mesi, riattivandosi per riottenere l'accesso dopo i tentativi di eradicazione delle vittime. Questa strategia evidenzia una notevole attenzione all'anticipazione degli investigatori e alla sicurezza operativa. Gli aggressori ottengono l'accesso iniziale tramite spear-phishing o credenziali rubate. Il malware implementato include Twostroke per la raccolta e la persistenza dei dati di sistema, Deeproot per l'esecuzione di comandi e la manipolazione dei file e Ghostline/Pollblend per il tunneling. Utilità di escalation dei privilegi come Dcsyncer.slick estraggono gli hash NTLM e Crashpad ruba le credenziali del browser, spesso utilizzando il dirottamento dell'ordine di ricerca DLL. |