Пока расследование не разлучит нас: малварь, которая может сидеть в сети компании годами

[Udaw]

Здравствуйте! В Заголовке сказано «может сидеть в сети компании годами». Поделитесь хотя бы Dwell Time из этого кейса?
Из опыта инцидентов с PlugX это не просто «российские компании», а как правило компании с полным или частичным государственным участием, имеющим отношение к оборонной промышленности. Как в этом случае?
В статье представлен только реверс семплов. Но нет семпла отвечающего за Entry point. Как вредоносы попал в сеть? Не получилось найти из-за давности заражения?
Спасибо!

[BiZone_team]

Здравствуйте! В данном случае нам пришлось иметь дело с компрометацией пятилетней давности.

Согласно NDA мы можем делиться информацией о семплах — что мы и сделали в этой статье. Но мы не можем рассказывать даже о сфере, в которой работает компания-жертва(

В данном случае entry point действительно не удалось установить из-за давности заражения, но косвенные признаки указывают на то, что это был документ, распространяемый через электронную почту.

[ifap]

В данном случае нам пришлось иметь дело с компрометацией пятилетней давности.
Согласно NDA мы можем делиться информацией о семплах — что мы и сделали в этой статье. Но мы не можем рассказывать даже о сфере, в которой работает компания-жертва(

А NDA не запрещает рассказать о размере дилдо, которым сделали выговор безопасникам? ;) Мне в таких историях интереснее всего ретроспективный анализ на тему: как мы дошли до жизни такой, что в системе 5 лет сидит вредонос, все эти годы куча народа получает ФОТ и бюджет «на безопасность», а потом приходит «внешний аудит» и находит вот такой вот веселый зоопарк…