В апреле 2024 года исследователи из The DFIR Report опубликовали отчет, описывающий цепочку атаки вируса-вымогателя Nokoyawa в феврале 2023 года.
В ходе анализа информации из этого отчета специалисты F.A.C.C.T. обратили внимание на интересные детали.До запуска шифровальщика атакующие использовал сервер Cobalt Strike, который был развернут на домене msc-mvc-updates[.]com с IP адресом 91[.]215[.]85[.]183.Специалисты F.A.C.C.T.
отметили, что данный сервер уже фигурировал в других отчетах и атаках. С помощью хантинг правил на инфраструктуру злоумышленников, 11.04.2023 данный сервер был атрибутирован системой F.A.C.C.T.
Читать на habr.com