APT28 держала 42 хоста украинских военных структур под контролем — IOC-фиды молчали. C2 шёл через Icedrive, Filen и Koofr, шеллкод прятался в PNG. SigmaHQ (8000+ правил) не покрывает ни один из этих провайдеров.Operation Phantom Net Voxel: BEARDSHELL опрашивает...
Detection Engineering: Sigma и YARA правила для детекции стеганографии и облачного C2 APT28
Источник: codeby.net