mdmx: (Default)
[personal profile] mdmx

As our analysis shows, this is a thoroughly well-planned and well-executed operation. We assume that the attackers had access to the M.E.Doc application source code. They had time to learn the code and incorporate a very stealthy and cunning backdoor. The size of the full M.E.Doc installation is about 1.5GB, and we have no way at this time to verify that there are no other injected backdoors.

There are still questions to answer. How long has this backdoor been in use? What commands and malware other than DiskCoder.C or Win32/Filecoder.AESNI.C has been pushed via this channel? What other software update supply chains might the gang behind this attack have already compromised but are yet to weaponize?


Date: 2017-07-05 12:00 am (UTC)
qvb: (Default)
From: [personal profile] qvb
Спасибо, очень интересный анализ.

Судя по этому анализу MEDoc уже давно работал под контролем, поскольку аттакеры не только имели копию его сорса, но и использовали апдейт-сервер самого MEDoc'a для С&C.

А если вспомнить что саппорт этого самого MEDoc'a еще и говорил юзерам ставить апдейт под домейн админом - то вырисовывается совсем неприятная картинка - похоже что как минимум некоторые из сотрудников MEDoc (сознательно работали или их использовали "в темную") на аттакеров.

И поскольку вирус не собирался реально вымогать деньги (данные не зашифрованы а угроблены безвозвратно) - то аттакеры не обычные мошенники-вымогатели а деятели вроде лубянских, которые просто хотели нагадить.

Кроме того - аттакеры зачем-то собирали (через сервер MEDoc'a) IDs организаций которые удалось заразить, и они выбирали кого грохнуть а кого нет. Это явно не самодеятельность любителей.

P.S. Перепостил тут: qvb.dreamwidth. org/199288.html
Edited Date: 2017-07-05 12:05 am (UTC)


mdmx: (Default)

July 2017

2 3 4 56 78
9 10 11 12 13 1415
16 17 18 19 20 2122
23 24 2526272829

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated Jul. 26th, 2017 02:46 am
Powered by Dreamwidth Studios