GoBear
Techniques Used |
||||
Domain | ID | Name | Use | |
---|---|---|---|---|
Enterprise | T1036 | .005 | Masquerading: Match Legitimate Resource Name or Location |
GoBear is installed through droppers masquerading as legitimate, signed software installers.(Citation: Symantec Troll Stealer 2024) |
Enterprise | T1553 | .002 | Subvert Trust Controls: Code Signing |
GoBear uses stolen legitimate code signing certificates for defense evasion.(Citation: S2W Troll Stealer 2024)(Citation: Symantec Troll Stealer 2024) |
Groups That Use This Software |
||
ID | Name | References |
---|---|---|
G0094 | Kimsuky |
(Citation: S2W Troll Stealer 2024) (Citation: Symantec Troll Stealer 2024) |
References
- Jiho Kim & Sebin Lee, S2W. (2024, February 7). Kimsuky disguised as a Korean company signed with a valid certificate to distribute Troll Stealer (English ver.). Retrieved January 17, 2025.
- Symantec Threat Hunter Team. (2024, May 16). Springtail: New Linux Backdoor Added to Toolkit. Retrieved January 17, 2025.
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.