Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Shark

Shark is a backdoor malware written in C# and .NET that is an updated version of Milan; it has been used by HEXANE since at least July 2021.(Citation: ClearSky Siamesekitten August 2021)(Citation: Accenture Lyceum Targets November 2021)
ID: S1019
Type: MALWARE
Platforms: Windows
Version: 1.1
Created: 10 Jun 2022
Last Modified: 11 Apr 2024

Techniques Used

Domain ID Name Use
Enterprise T1071 .001 Application Layer Protocol: Web Protocols

Shark has the ability to use HTTP in C2 communications.(Citation: ClearSky Siamesekitten August 2021)(Citation: Accenture Lyceum Targets November 2021)

.004 Application Layer Protocol: DNS

Shark can use DNS in C2 communications.(Citation: ClearSky Siamesekitten August 2021)(Citation: Accenture Lyceum Targets November 2021)

Enterprise T1059 .003 Command and Scripting Interpreter: Windows Command Shell

Shark has the ability to use `CMD` to execute commands.(Citation: ClearSky Siamesekitten August 2021)(Citation: Accenture Lyceum Targets November 2021)

Enterprise T1568 .002 Dynamic Resolution: Domain Generation Algorithms

Shark can send DNS C2 communications using a unique domain generation algorithm.(Citation: ClearSky Siamesekitten August 2021)(Citation: Accenture Lyceum Targets November 2021)

Enterprise T1070 .004 Indicator Removal: File Deletion

Shark can delete files downloaded to the compromised host.(Citation: ClearSky Siamesekitten August 2021)

Enterprise T1036 .005 Masquerading: Match Legitimate Name or Location

Shark binaries have been named `audioddg.pdb` and `Winlangdb.pdb` in order to appear legitimate.(Citation: ClearSky Siamesekitten August 2021)

Enterprise T1027 .013 Obfuscated Files or Information: Encrypted/Encoded File

Shark can use encrypted and encoded files for C2 configuration.(Citation: ClearSky Siamesekitten August 2021)(Citation: Accenture Lyceum Targets November 2021)

Enterprise T1497 .001 Virtualization/Sandbox Evasion: System Checks

Shark can stop execution if the screen width of the targeted machine is not over 600 pixels.(Citation: ClearSky Siamesekitten August 2021)

Groups That Use This Software

ID Name References
G1001 HEXANE

(Citation: Accenture Lyceum Targets November 2021) (Citation: Kaspersky Lyceum October 2021)

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.