Sowbug
Associated Group Descriptions |
|
| Name | Description |
|---|---|
Techniques Used |
||||
| Domain | ID | Name | Use | |
|---|---|---|---|---|
| Enterprise | T1560 | .001 | Archive Collected Data: Archive via Utility |
Sowbug extracted documents and bundled them into a RAR archive.(Citation: Symantec Sowbug Nov 2017) |
| Enterprise | T1059 | .003 | Command and Scripting Interpreter: Windows Command Shell |
Sowbug has used command line during its intrusions.(Citation: Symantec Sowbug Nov 2017) |
| Enterprise | T1056 | .001 | Input Capture: Keylogging |
Sowbug has used keylogging tools.(Citation: Symantec Sowbug Nov 2017) |
| Enterprise | T1036 | .005 | Masquerading: Match Legitimate Name or Location |
Sowbug named its tools to masquerade as Windows or Adobe Reader software, such as by using the file name adobecms.exe and the directory |
Software |
|||
| ID | Name | References | Techniques |
|---|---|---|---|
| S0171 | Felismus | (Citation: Forcepoint Felismus Mar 2017) (Citation: Symantec Sowbug Nov 2017) | Match Legitimate Name or Location, System Owner/User Discovery, Web Protocols, Security Software Discovery, System Information Discovery, Standard Encoding, System Network Configuration Discovery, Ingress Tool Transfer, Symmetric Cryptography, Windows Command Shell |
| S0188 | Starloader | (Citation: Symantec Sowbug Nov 2017) | Deobfuscate/Decode Files or Information, Match Legitimate Name or Location |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.