Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
MITRE ATT&CK - Инструмент Octopus
Каталоги
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
Риски
Каталоги
MITRE ATT&CK
Инструмент
Octopus
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

Octopus

Octopus is a Windows Trojan written in the Delphi programming language that has been used by Nomadic Octopus to target government organizations in Central Asia since at least 2014.(Citation: Securelist Octopus Oct 2018)(Citation: Security Affairs DustSquad Oct 2018)(Citation: ESET Nomadic Octopus 2018)
ID: S0340
Type: MALWARE
Platforms: Windows
Version: 2.0
Created: 30 Jan 2019
Last Modified: 06 Apr 2022

Techniques Used
Domain ID Name Use
Enterprise T1071 .001 Application Layer Protocol: Web Protocols

Octopus has used HTTP GET and POST requests for C2 communications.(Citation: Securelist Octopus Oct 2018)(Citation: ESET Nomadic Octopus 2018)
Enterprise T1560 .001 Archive Collected Data: Archive via Utility

Octopus has compressed data before exfiltrating it using a tool called Abbrevia.(Citation: ESET Nomadic Octopus 2018)

Enterprise T1547 .001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder

Octopus achieved persistence by placing a malicious executable in the startup directory and has added the HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run key to the Registry.(Citation: Securelist Octopus Oct 2018)
Enterprise T1132 .001 Data Encoding: Standard Encoding

Octopus has encoded C2 communications in Base64.(Citation: Securelist Octopus Oct 2018)
Enterprise T1074 .001 Data Staged: Local Data Staging

Octopus has stored collected information in the Application Data directory on a compromised host.(Citation: Securelist Octopus Oct 2018)(Citation: ESET Nomadic Octopus 2018)
Enterprise T1567 .002 Exfiltration Over Web Service: Exfiltration to Cloud Storage

Octopus has exfiltrated data to file sharing sites.(Citation: ESET Nomadic Octopus 2018)
Enterprise T1036 .005 Masquerading: Match Legitimate Name or Location

Octopus has been disguised as legitimate programs, such as Java and Telegram Messenger.(Citation: Securelist Octopus Oct 2018)(Citation: ESET Nomadic Octopus 2018)
Enterprise T1566 .001 Phishing: Spearphishing Attachment

Octopus has been delivered via spearsphishing emails.(Citation: ESET Nomadic Octopus 2018)
Enterprise T1204 .002 User Execution: Malicious File

Octopus has relied upon users clicking on a malicious attachment delivered through spearphishing.(Citation: ESET Nomadic Octopus 2018)

Groups That Use This Software
ID Name References
G0133 Nomadic Octopus

(Citation: Security Affairs DustSquad Oct 2018) (Citation: Securelist Octopus Oct 2018) (Citation: ESET Nomadic Octopus 2018)

References

  1. Cherepanov, A. (2018, October 4). Nomadic Octopus Cyber espionage in Central Asia. Retrieved October 13, 2021.
  2. Kaspersky Lab's Global Research & Analysis Team. (2018, October 15). Octopus-infested seas of Central Asia. Retrieved November 14, 2018.
  3. Paganini, P. (2018, October 16). Russia-linked APT group DustSquad targets diplomatic entities in Central Asia. Retrieved August 24, 2021.
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.