Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
MITRE ATT&CK - Инструмент Ferocious
CVE уязвимости
БДУ ФСТЭК уязвимости
НКЦКИ уязвимости
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
Риски
Каталоги
MITRE ATT&CK
Инструмент
Ferocious
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

Ferocious

Ferocious is a first stage implant composed of VBS and PowerShell scripts that has been used by WIRTE since at least 2021.(Citation: Kaspersky WIRTE November 2021)
ID: S0679
Type: MALWARE
Platforms: Windows
Version: 1.0
Created: 01 Feb 2022
Last Modified: 01 Feb 2022

Techniques Used
Domain ID Name Use
Enterprise T1059 .001 Command and Scripting Interpreter: PowerShell

Ferocious can use PowerShell scripts for execution.(Citation: Kaspersky WIRTE November 2021)
.005 Command and Scripting Interpreter: Visual Basic

Ferocious has the ability to use Visual Basic scripts for execution.(Citation: Kaspersky WIRTE November 2021)

Enterprise T1546 .015 Event Triggered Execution: Component Object Model Hijacking

Ferocious can use COM hijacking to establish persistence.(Citation: Kaspersky WIRTE November 2021)
Enterprise T1070 .004 Indicator Removal: File Deletion

Ferocious can delete files from a compromised host.(Citation: Kaspersky WIRTE November 2021)
Enterprise T1518 .001 Software Discovery: Security Software Discovery

Ferocious has checked for AV software as part of its persistence process.(Citation: Kaspersky WIRTE November 2021)
Enterprise T1497 .001 Virtualization/Sandbox Evasion: System Checks

Ferocious can run anti-sandbox checks using the Microsoft Excel 4.0 function GET.WORKSPACE to determine the OS version, if there is a mouse present, and if the host is capable of playing sounds.(Citation: Kaspersky WIRTE November 2021)

Groups That Use This Software
ID Name References
G0090 WIRTE

(Citation: Kaspersky WIRTE November 2021)

References

  1. Yamout, M. (2021, November 29). WIRTE’s campaign in the Middle East ‘living off the land’ since at least 2019. Retrieved February 1, 2022.
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.