🛡 CRATU разбирает IOC Rare Werewolf: домены и хэши — ключ к блокировке фишинга! 🐺 Что скрывается за IOC Rare Werewolf? Rare Werewolf использует фишинг для целевых атак на Россию и CIS, как следует из текущего IOC-пакета CRATU. Домены aviator-concern.site и npo-avia.online маскируют вредоносные RAR, ведущие к AnyDesk, с IP 198.54.115.63 и SHA256-хэшами (a22879f… и ещё 6 значений из пакета IOC). Эти IOC позволяют оперативно блокировать угрозу. Группировка активно применяет техники из MITRE ATT&CK: 🎯 T1566.001 — Фишинг: Spearphishing Attachment (вложения в emails, маскирующиеся под RAR). 📄 T1204.002 — User Execution: Malicious File (запуск вредоносного файла пользователем). 📦 T1219 — Remote Access Software (установка AnyDesk для удаленного доступа). ⚠️ Как это добро детектить в любой SIEM-системе Фокусируйтесь на IOC-матчинге. В SIEM: 1️⃣Шаг 1: Детекция доменов. Фильтруйте трафик к aviator-concern.site или npo-avia.online. 2️⃣ Шаг 2: Хэш-матчинг. Коррелируйте файлы с SHA256-хэшами из IOCs (в пакете их 7). [FIX] 3️⃣ Шаг 3: IP-блокировка. Проверяйте соединения к 198.54.115.63. 4️⃣ Шаг 4: Корреляция. Если домен + хэш + IP, алерт как "IOC-матч Rare Werewolf". Дополнительно: Добавьте IOC в черные списки, мониторьте изменения. 👁‍🗨 Подписывайтесь на CRATU — мы анализируем IOC и обновляем базы в реальном времени!