Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

PolyglotDuke

PolyglotDuke is a downloader that has been used by APT29 since at least 2013. PolyglotDuke has been used to drop MiniDuke.(Citation: ESET Dukes October 2019)
ID: S0518
Type: MALWARE
Platforms: Windows
Version: 1.1
Created: 23 Sep 2020
Last Modified: 26 Mar 2023

Techniques Used

Domain ID Name Use
Enterprise T1071 .001 Application Layer Protocol: Web Protocols

PolyglotDuke has has used HTTP GET requests in C2 communications.(Citation: ESET Dukes October 2019)

Enterprise T1027 .003 Obfuscated Files or Information: Steganography

PolyglotDuke can use steganography to hide C2 information in images.(Citation: ESET Dukes October 2019)

.011 Obfuscated Files or Information: Fileless Storage

PolyglotDuke can store encrypted JSON configuration files in the Registry.(Citation: ESET Dukes October 2019)

Enterprise T1218 .011 System Binary Proxy Execution: Rundll32

PolyglotDuke can be executed using rundll32.exe.(Citation: ESET Dukes October 2019)

Enterprise T1102 .001 Web Service: Dead Drop Resolver

PolyglotDuke can use Twitter, Reddit, Imgur and other websites to get a C2 URL.(Citation: ESET Dukes October 2019)

Groups That Use This Software

ID Name References
G0016 APT29

(Citation: ESET Dukes October 2019) (Citation: Secureworks IRON HEMLOCK Profile)

(Citation: ESET Dukes October 2019)

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.