#ParsedReport #CompletenessLow
08-10-2024

HORUS Protector Part 1: The New Malware Distribution Service

https://blog.sonicwall.com/en-us/2024/10/horus-protector-part-1-the-new-malware-distribution-service

Report completeness: Low

Threats:
Horus_protector
Agent_tesla
Remcos_rat
Njrat

Geo:
French

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1055, T1105, T1140

IOCs:
Domain: 1
IP: 1
File: 12
Hash: 4

Soft:
Telegram

Algorithms:
md5

Languages:
dotnet, javascript, visual_basic

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе нового сервиса распространения вредоносных программ под названием Horus Protector, который предоставляет полностью необнаруживаемый (FUD) шифровальщик для распространения различных семейств вредоносных программ. Авторы Horus Protector активно отслеживают антивирусные обнаружения, постоянно обновляют свой сервис и используют сложные методы распространения вредоносных программ, чтобы избежать обнаружения и обеспечить эффективность своей службы защиты от вредоносных программ.
-----

Исследовательская группа SonicWall по изучению угроз обнаружила новый сервис распространения вредоносных программ FUD crypter под названием Horus Protector.

Horus Protector распространяет несколько семейств вредоносных программ, таких как AgentTesla, Remcos, Snake и njRAT.

Авторы Horus Protector являются носителями французского языка, о чем свидетельствуют инструкции на французском языке и демонстрационные видеоролики.

Сервис предлагает версии v 0.3, v 0.4, v 0.4.1 и последнюю версию v 0.4.2, для использования которой требуется ключ после оплаты.

Авторы постоянно обновляют код, чтобы избежать обнаружения антивирусом, и делятся обновлениями в Telegram.

Они используют kleenscan.com для оценки скорости обнаружения своих двоичных файлов вредоносных программ.

Horus Protector активно отслеживает обнаружение AV-файлов, чтобы усовершенствовать тактику распространения вредоносных программ.

В последней версии, версии 0.4.2, используется сложная технология многоуровневой цепочки заражения с использованием zip-файла, содержащего закодированный сценарий VBE.

Инструмент представляет собой 32-разрядный файл сборки DotNet с двумя вкладками для сведений о пользователе и использования crypter.

Отбор и обработка данных осуществляются на стороне сервера, а в последней версии реализованы сценарии VBE для многоступенчатых цепочек заражения и методов сохранения данных, позволяющих избежать обнаружения.

#ParsedReport #CompletenessMedium
08-10-2024

Over 28,000 Users Affected by Cryptocurrency Mining and Theft Trojan Campaign

https://news.drweb.ru/show/?i=14920&lng=ru&c=5

Report completeness: Medium

Threats:
Ncat_tool
Process_hollowing_technique
Silentcryptominer_tool
Btcmine

Geo:
Kyrgyzstan, Uzbekistan, Ontario, Russia, Turkey, Kazakhstan, Ukraine, Belarus

ChatGPT TTPs:
do not use without manual check
T1203, T1055.012, T1112, T1005, T1105

IOCs:
File: 19
Hash: 26
Domain: 3
Url: 13
Coin: 10

Soft:
Google Chrome, Microsoft Edge, Telegram, Windows Explorer

Algorithms:
sha1

Languages:
autoit

Links:
https://translate.google.com/website?sl=ru&tl=en&hl=ru&client=webapp&u=https://github.com/DoctorWebLtd/malware-iocs/blob/master/Metack/README.adoc

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что аналитики cyber threat intelligence обнаружили масштабную кампанию, направленную на распространение вредоносного ПО для майнинга и кражи криптовалют. Вредоносное ПО распространяется под различными личинами, такими как офисные программы и читы для игр, и использует такие методы, как взлом процессов, для осуществления несанкционированных действий в скомпрометированных системах. Киберпреступникам удалось обогатиться за счет кражи криптовалюты, и пользователям рекомендуется принимать превентивные меры, такие как загрузка программного обеспечения из надежных источников и использование надежного антивирусного программного обеспечения.
-----

Вирусные аналитики "Доктор Веб" обнаружили продолжающуюся масштабную кампанию, направленную на распространение вредоносного ПО с целью майнинга и кражи криптовалюты. Вредоносные трояны распространяются под различными личинами, включая офисные программы, читы для игр и ботов для онлайн-торговли. Для передачи данных по сети киберпреступники используют сетевую утилиту Ncat, которая маскируется под системный компонент.

Основной источник заражения был обнаружен на мошеннических веб-сайтах на GitHub и ссылках, встроенных в описания на YouTube. Пользователей обманом заставляют загружать с этих источников самораспаковывающиеся зашифрованные архивы, которые содержат вредоносный скрипт автоматической загрузки, замаскированный под библиотеку, связанную с популярной программой WinRAR. После выполнения скрипт AutoIt предназначен для обнаружения отладочного программного обеспечения в процессах и инициирования вредоносных действий в скомпрометированной системе.

Скомпрометированные системные файлы позволяют вредоносному ПО облегчать взаимодействие с сетью, перехватывать запуск приложений и отключать службу восстановления операционной системы Windows. Киберпреступники внедрили в систему скрытые функции майнинга и кражи криптовалют. explorer.exe обрабатывают с использованием техники, известной как технологическое выдалбливание. Этот метод предполагает использование DeviceID.dll и 7zxa.dll файлов для осуществления несанкционированного майнинга и кражи криптовалюты.

Примечательно, что 7zxa.dll файл содержит вредоносную программу Clipper, которая специально отслеживает буфер обмена пользователя для замены или пересылки адресов криптовалютных кошельков. С помощью этого метода киберпреступникам удалось обогатиться более чем на 6000 долларов. В результате использования технологии "Опустошения процессов" на компьютерах жертв создается множество explorer.exe процессов, затрагивающих более 28 тысяч пользователей, проживающих преимущественно в России, Беларуси, Узбекистане, Казахстане, Украине, Кыргызстане и Турции.

В свете этой угрозы было предоставлено несколько ключевых рекомендаций для предотвращения. Пользователям рекомендуется загружать программное обеспечение только из официальных и надежных источников, по возможности использовать альтернативные версии с открытым исходным кодом и использовать антивирусное программное обеспечение с хорошей репутацией для обнаружения и предотвращения таких вредоносных действий.

Анализ также включает в себя список выявленных образцов вредоносного ПО с соответствующими хэшами sha-1. Эти образцы включают в себя различные формы троянских программ, расширения оболочки и инструменты, используемые киберпреступниками для осуществления своих вредоносных действий. Каждый выявленный образец вредоносного ПО сопоставляется с уникальными хэшами sha-1 для дальнейшей идентификации и отслеживания специалистами по кибербезопасности.

#ParsedReport #CompletenessHigh
09-10-2024

LemonDuck Unleashes Cryptomining Attacks Through SMB Service Exploits

https://notes.netbytesec.com/2024/10/lemonduck-unleashes-cryptomining.html

Report completeness: High

Threats:
Lemonduck
Eternalblue_vuln
Mimikatz_tool
Passthehash_technique
Coinminer

Geo:
Taiwan

CVEs:
CVE-2017-0144 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft server message block (1.0)


TTPs:

IOCs:
File: 13
IP: 1
Path: 2
Domain: 1
Hash: 1

Soft:
Windows Defender, Windows Task Scheduler

Algorithms:
md5, base64

Functions:
userlist, pslist, exploit, smb_pwn, smb_send_file, mmka

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, chart: 1, windows: 2, table: 2, code: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основной идеей текста является подробный анализ вредоносного ПО LemonDuck, которое использует уязвимость EternalBlue в целевых системах для майнинга криптовалют. Злоумышленник использует различные тактики, такие как фишинговые электронные письма, атаки методом перебора, использование PowerShell и манипулирование системными службами, чтобы избежать обнаружения, установить контроль и обеспечить постоянство работы скомпрометированных систем. В сообщении в блоге также подчеркивается важность индикатора компрометации (IOCs), который помогает специалистам по безопасности выявлять потенциальные компрометации и дает представление о методах злоумышленника, таких как переименование и перемещение вредоносных исполняемых файлов, обход антивирусного программного обеспечения и установление связи командования и контроля (C2).
-----

В сообщении в блоге обсуждается вредоносная программа Lemduck, которая использует уязвимость EternalBlue (CVE-2017-0144) в протоколе Microsoft Server Message Block (SMB) для майнинга криптовалют. Компания Lemduck известна тем, что использует слабые места малого и среднего бизнеса с помощью фишинговых электронных писем, атак методом перебора и PowerShell, чтобы избежать обнаружения и нацеливания систем на криптоджекинг. Злоумышленник скомпрометировал пользователя "Администратор" с помощью атаки методом перебора на уязвимый SMB-сервис, создав скрытые административные общие ресурсы и выполнив ряд вредоносных действий для сохранения и контроля над системой.

Злоумышленник использовал PowerShell и запланированные задачи для загрузки и выполнения вредоносных программ, манипулирования системными службами, отключения таких мер безопасности, как защитник Windows, и установления связи между командами и контролем (C2) посредством переадресации портов на внешний IP-адрес. Кроме того, злоумышленник переименовал и переместил вредоносные исполняемые файлы, такие как svchost.exe и dig.exe, чтобы избежать обнаружения антивирусным программным обеспечением и обеспечить сохраняемость.

В сообщении в блоге также освещаются индикаторы компрометации (IOCs), связанные с вредоносным ПО Lemduck, такие как IP-адреса, помеченные для вредоносных действий, таких как атаки методом перебора, и вредоносные файлы, такие как FdQn.exe (msInstall.exe) и skuAtH.exe (svchost.exe). Эти IoC могут помочь специалистам по безопасности оценить потенциальные компромиссы в их среде.

Кроме того, злоумышленник выполнял команды для загрузки скриптов с вредоносных URL-адресов (http://t.amynx.com/gim.jsp), создания запланированных задач для запуска вредоносного ПО и уклонения от обнаружения путем мониторинга доступности PowerShell и системных служб. Запланированные задачи были настроены на запуск вредоносных файлов через регулярные промежутки времени, что обеспечивало постоянство и непрерывную компрометацию системы.

В сообщении также содержится подробная информация о конкретных тактиках и приемах, используемых злоумышленником, включая отключение защитника Windows, изменение правил брандмауэра, управление запланированными задачами для запуска вредоносного ПО и установление связи C2 с помощью проксирования портов. Значения хэшей для вредоносных файлов, URL-адресов и IP-адресов, связанных с атакой, представлены для идентификации и дальнейшего анализа специалистами по безопасности.

#ParsedReport #CompletenessHigh
09-10-2024

Reign of King: Obstinate Mogwai Faction Tactics and Tools

https://rt-solar.ru/solar-4rays/blog/4753

Report completeness: High

Actors/Campaigns:
Obstinate_mogwai (motivation: cyber_espionage, information_theft)
Hafnium
Apt31
Webworm

Threats:
Reign
Trochilus_rat
Donnect
Dimanorat
Venom_proxy_tool
Kingofhearts
Powerpool
Viewstate_deserialization_vuln
Proxylogon_exploit
Nbtscan_tool
Dll_sideloading_technique
Cmpspy
Antspy
Antak
Aspxspy_shell
Dcsync_technique
Webdav-o_rat
Winrm_tool
Sessiongopher_tool
Putty_tool
Superputty_tool
Kerberoasting_technique
Passthehash_technique
Grewapacha
Nishang_tool
Bloodhound_tool
Adfind_tool
Smbexec_tool
Impacket_tool
Vmprotect_tool
Credential_dumping_technique
Mimikatz_tool
Process_injection_technique

Victims:
Government organizations, It companies, Russian organizations

Industry:
Government

Geo:
Asian, Russian, Asia, Russia

CVEs:
CVE-2012-0002 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 7 (*)
- microsoft windows server 2003 (*)
- microsoft windows server 2008 (*, -, r2)
- microsoft windows vista (*)
- microsoft windows xp (*, -)
have more...

TTPs:
Tactics: 10
Technics: 47

IOCs:
Path: 89
IP: 47
Domain: 32
File: 26
Registry: 4
Command: 10
Hash: 67

Soft:
Microsoft Exchange, task scheduler, Winlogon, WinSCP, Active Directory, Windows Remote Desktop Protocol, RDCMan, Sysinternals, Windows Media, Unix, have more...

Algorithms:
sha256, md5, xor, 7zip, base64, 3des, sha1

Functions:
RPC

Win Services:
Ntmssvc

Languages:
powershell, ruby, visual_basic

Platforms:
x64, x86

Links:
https://github.com/0x7556/smbexec
https://github.com/canc3s/OXID
https://github.com/fullmetalcache/tools/blob/master/autokerberoast\_nomimi\_stripped.ps1
https://github.com/Dliv3/Venom
https://github.com/Kevin-Robertson/Inveigh
https://github.com/3gstudent/Homework-of-Powershell/blob/master/dns-dump.ps1
https://github.com/BloodHoundAD/SharpHound
https://github.com/fengwenhua/CMPSpy/blob/main/ConfigureRegistrySettings.ps1
https://github.com/tennc/webshell/blob/master/net-friend/aspx/aspxspy/aspxspy.aspx
https://github.com/Arvanaghi/SessionGopher
https://github.com/WinRb/WinRM
https://github.com/samratashok/nishang/blob/master/Antak-WebShell/antak.aspx
https://github.com/samratashok/nishang/blob/master/Backdoors/DNS\_TXT\_Pwnage.ps1
https://github.com/fengwenhua/CMPSpy
https://github.com/fortra/impacket
https://github.com/samratashok/nishang
https://github.com/iSecurity-Club/Pentest-Methodologies/blob/master/web-exploit-exp/PHP-reverse-shell/big-shell.php
https://github.com/Kevin-Robertson
https://github.com/3gstudent/Homework-of-C-Language/blob/master/sekurlsa-wdigest.cpp
https://github.com/charlesroelli/nbtscan
https://github.com/tennc/webshell/blob/master/aspx/nishang/Antak-WebShell/antak.aspx

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 1, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в подробном описании изощренной хакерской группировки под названием Obstinate Mogwai, которая, как полагают, поддерживается государством и действует в Восточной Азии. Группа атакует правительственные организации, ИТ-компании и подрядчиков, используя различные тактики для проникновения в целевые сети, включая использование общедоступных сервисов, доверительных отношений с подрядчиками и законных учетных записей. Упрямый Могвай известен своей настойчивостью, скрытной тактикой и использованием различных вредоносных инструментов. Деятельность группы частично совпадает с деятельностью других азиатских APT-групп, что позволяет предположить наличие сети взаимосвязанных действий по кибершпионажу в регионе. Также отмечается постоянное развитие и совершенствование их набора вредоносных инструментов.
-----

В тексте описывается деятельность изощренной хакерской группировки под названием Obstinate Mogwai, которая, как полагают, поддерживается государством и действует в Восточной Азии. Целью группировки в первую очередь являются правительственные организации, IT-компании и их подрядчики. Расследования, проведенные в период с 2023 по начало 2024 года, выявили, что Упрямый Могвей использовал различные тактики для проникновения в целевые сети, включая использование общедоступных сервисов, доверительных отношений с подрядчиками и законных учетных записей, уделяя особое внимание компрометации серверов Exchange.

Группа использовала различные вредоносные программы, в том числе такие известные, как KingOfHearts и TrochilusRAT, а также более новые бэкдоры под названием Donnect и DimanoRAT. Подчеркивается настойчивость Упрямого Могвая во взломе сетей, приводя примеры непрерывных попыток проникновения даже после того, как они были многократно пресечены.

Группа известна своей тактикой скрытия, например, сокрытием вредоносных программ в легальном коде, чтобы избежать обнаружения. Было замечено, что они используют различные методы утечки информации, включая использование скриншотов и записей экрана, чтобы избежать обнаружения.

Операции Упрямого Могвая частично совпадали с действиями других азиатских APT-групп, таких как IAmTheKing, HAFNIUM и APT31. Были выявлены связи с предыдущими инцидентами, связанными с использованием уязвимостей, таких как ProxyLogon, и таких инструментов, как TrochilusRAT. Было задокументировано, что группа использовала целый ряд вредоносных программ и методов удаленного администрирования, утечки данных и обхода сети.

В тексте также упоминается связь группы с другими участниками угроз и демонстрируется сходство в тактике и используемых инструментах, что наводит на мысль о сети взаимосвязанных действий по кибершпионажу в регионе. Кроме того, обсуждается новая версия бэкдора KingOfHearts, развернутая в .NET и сделанная модульной для взаимодействия с C2, что указывает на постоянную разработку и усовершенствование их набора вредоносных инструментов.

#ParsedReport #CompletenessHigh
09-10-2024

Mind the (air) gap: GoldenJackal gooses government guardrails

https://www.welivesecurity.com/en/eset-research/mind-air-gap-goldenjackal-gooses-government-guardrails

Report completeness: High

Actors/Campaigns:
Goldenjackal (motivation: cyber_espionage, sabotage)
Turla
Moustachedbouncer

Threats:
Mata
Goldendealer
Goldenhowl
Goldenrobo
Goldenusbcopy
Goldenusbgo
Goldenace
Goldenblacklist
Goldenpyblacklist
Goldenmailer
Goldendrive
Jackalcontrol
Jackalsteal
Jackalworm
Jackalperinfo
Jackalscreenwatcher
Agent_btz
Pysoxy_tool
Robocopy_tool
Plink_tool
Impacket_tool
Eternalblue_vuln

Victims:
Governmental organization, Embassy

Industry:
Government

Geo:
Asian, Asia, Belarus, Russian, Ukraine, Middle east

TTPs:
Tactics: 11
Technics: 50

IOCs:
Registry: 1
Path: 8
Url: 5
File: 16
IP: 2
Command: 1
Email: 3
Hash: 12
Domain: 3

Soft:
Windows Explorer, Windows SMB, PsExec, Outlook, PyInstaller, OpenSSL, Microsoft Office, Microsoft Outlook, office365, WordPress, have more...

Algorithms:
xor, base64, aes, zip, sha256, fnv-1a, gzip

Win API:
CreateProcessW, GetUserNameW

Languages:
python, powershell

Platforms:
x86

Links:
https://github.com/worawit/MS17-010/
https://github.com/python/cpython/blob/3.12/Lib/http/server.py
https://github.com/fortra/impacket
https://github.com/eset/malware-ioc/tree/master/goldenjackal
https://github.com/MisterDaneel/pysoxy/

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, code: 3, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в анализе компанией ESET Research кибершпионажной деятельности, проводимой агентом по борьбе с угрозами GoldenJackal, с акцентом на их нацеливание на защищенные системы и правительственные организации в Европе, на Ближнем Востоке и в Южной Азии. Анализ раскрывает инструменты и тактику, используемые GoldenJackal, подчеркивая их возможности по компрометации сетей и сохранению в целевых средах на протяжении нескольких лет. Исследование проливает свет на эволюционирующий характер, изобретательность и изощренность группы в осуществлении кибершпионажа.
-----

GoldenJackal - это участник кибершпионажа, известный своими атаками на системы с воздушными зазорами.

С мая 2022 по март 2024 года GoldenJackal атаковал правительственную организацию в Европе.

Набор инструментов GoldenJackal включает в себя такие имплантаты, как JackalControl, JackalSteal, JackalWorm, JackalPerInfo и JackalScreenWatcher для шпионской деятельности.

GoldenJackal использовал в атаках пользовательские инструменты, такие как GoldenDealer, GoldenHowl и GoldenRobo, со специфическими функциями для доставки файлов, бэкдора и эксфильтрации файлов.

Было замечено, что скрипты PowerShell и инструменты, такие как Plink и PsExec, использовались GoldenJackal для развертывания бэкдоров и других вредоносных инструментов.

В мае 2022 года GoldenJackal перешел на новый набор инструментов, ориентированный на правительственную организацию в Европе. Компоненты, написанные на Go, ориентированы на сбор файлов с USB-накопителей, боковое перемещение и эксфильтрацию файлов.

Были выявлены дополнительные компоненты, такие как GoldenUsbCopy, GoldenAce, GoldenBlacklist, GoldenPyBlacklist, GoldenMailer и GoldenDrive, которые используются для сбора файлов, распространения вредоносных исполняемых файлов, обработки сообщений электронной почты и эксфильтрации файлов.

Анализ показывает, что GoldenJackal на протяжении пяти лет применяла различные наборы инструментов, демонстрируя изобретательность и осведомленность о методах сегментации сети.

#ParsedReport #CompletenessMedium
09-10-2024

Operation MiddleFloor: Disinformation campaign targets Moldova ahead of presidential elections and EU membership referendum. Introduction. Introduction

https://research.checkpoint.com/2024/disinformation-campaign-moldova

Report completeness: Medium

Actors/Campaigns:
Middlefloor (motivation: disinformation, hacktivism)
Lying_pigeon (motivation: disinformation)
Doppelgnger (motivation: disinformation)
Noname057

Threats:
Spear-phishing_technique
Lumma_stealer

Industry:
Government, Education, Energy, Ngo, Petroleum

Geo:
Moldova, Russian, Africa, Spanish, Lithuania, Poland, Polish, Belarus, Russia, Middle east, Spain

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566.001, T1560

IOCs:
Domain: 49
File: 9
Hash: 9
IP: 11
Email: 1

Soft:
Telegram, Mailcow, Dropbox

Algorithms:
sha256, md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что кампания дезинформации с использованием киберпространства, известная как "Lying Pigeon", которая, как полагают, соответствует интересам России, направлена против правительства и сферы образования Молдовы в преддверии выборов в стране. Кампания направлена на то, чтобы повлиять на общественное мнение, распространяя негативное восприятие европейских ценностей, процесса вступления в ЕС и проевропейского руководства Молдовы. Злоумышленники используют различные тактики, такие как выдача себя за учреждения Европейского союза и министерства Молдовы, для распространения поддельного контента по электронной почте, а также участвуют в распространении вредоносных программ. Противодействие таким угрозам имеет решающее значение для обеспечения целостности демократии и кибербезопасности в Европе.
-----

В начале августа исследование Check Point выявило кампанию дезинформации с использованием киберпространства, направленную против правительства и сферы образования Молдовы в преддверии выборов в стране, которые состоятся 20 октября. Злоумышленники, известные как "Lying Pigeon", стремятся повлиять на общественное мнение, распространяя негативное восприятие европейских ценностей, процесса вступления в ЕС и проевропейского руководства Республики Молдова. Кампания затрагивает различные деликатные темы, включая проблемы с поставками газа, ценами на топливо, проблемы ЛГБТ, меры по борьбе с коррупцией, изменения в сфере образования, иммиграции и изменения на рынке труда. "Lying Pigeon", который, как полагают, связан с интересами России, активно действует в Европе с начала 2023 года, нацеливаясь на такие события, как саммит НАТО в Вильнюсе и всеобщие выборы в Испании.

В рамках продолжающейся кампании по дезинформации Operation MiddleFloor в качестве основного метода распространения и сбора информации используются электронные письма. Электронные письма выдают себя за учреждения Европейского союза, министерства Республики Молдова и политических деятелей для распространения поддельного контента и сбора данных о жертвах. Кампания направлена на то, чтобы заложить основу для потенциальных целевых атак вредоносных программ. Хотя электронные письма имеют ограниченный вирусный охват по сравнению с социальными сетями, они обеспечивают отслеживаемую инфраструктуру, позволяющую властям более эффективно выявлять источники дезинформации.

Кампания по дезинформации включает в себя поддельные документы, направленные против молдавских чиновников по таким темам, как изменение миграционной политики и повышение цен на газ. Эти поддельные сообщения направлены на манипулирование общественным восприятием и создание путаницы. Используя уязвимости в среде обитания жертв, злоумышленники могут проводить кампании скрытого фишинга и другие целенаправленные атаки, в том числе на проезжую часть.

В рамках кампании несколько доменов и IP-адресов взаимосвязаны, что позволяет отнести их к одной и той же операции. Злоумышленники зарегистрировали домены для подмены европейских и молдавских организаций и использовали различные тактики для осуществления своей дезинформационной деятельности. Усилия по дезинформации являются частью более широкой стратегии Lying Pigeon по влиянию на политическую стабильность и демократические процессы не только в Молдове, но и в других европейских странах, таких как Испания. Группа сочетает дезинформацию с распространением вредоносных программ, что свидетельствует о сложном и многогранном подходе к их деятельности.

Мониторинг и противодействие деятельности таких опасных субъектов, как Lying Pigeon, имеют решающее значение для обеспечения целостности демократии и кибербезопасности в Европе. Постоянное вмешательство в демократические процессы и двойной подход к распространению дезинформации и сбору информации представляют серьезную угрозу политической стабильности и общественному доверию к законным институтам.