#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: В совместном консультативном заключении по кибербезопасности рассказывается о том, как иранские киберпреступники используют передовые методы для атаки на критически важные сектора инфраструктуры, применяя такие тактики, как атаки методом перебора, разбрасывание паролей, бомбардировки MFA и использование уязвимостей в таких системах, как Microsoft 365 и Citrix. Целью злоумышленников является кража учетных данных для несанкционированного доступа и торговли информацией в "темной паутине". В рекомендациях содержится информация о тактике, методах и процедурах злоумышленников, предлагаются рекомендации по устранению потенциальных угроз для организаций, подчеркивается важность политики надежного использования паролей и внедрения MFA.
-----

Иранские киберпреступники нацелены на организации в критически важных инфраструктурных секторах, таких как здравоохранение, государственное управление, информационные технологии, машиностроение и энергетика.

Они используют такие тактики, как разбрасывание паролей, многофакторная аутентификация (MFA) и сетевая разведка, чтобы скомпрометировать учетные записи пользователей и получить доступ к сетям.

Иранские злоумышленники используют уязвимости в системах Microsoft 365, Azure и Citrix, в том числе подавляют пользователей запросами MFA, используют открытые регистрации MFA и средства самостоятельного сброса пароля для несанкционированного доступа.

Они используют VPN-сервисы для маскировки своей деятельности, осуществляют боковые перемещения с использованием протокола удаленного рабочего стола (RDP) и используют инструменты с открытым исходным кодом для сбора учетных данных.

Злоумышленники выполняют перечисление имен участников службы Kerberos, используют команды PowerShell для сброса каталогов и пытаются выдать себя за контроллер домена, демонстрируя сложные схемы атак.

Подробные тактики, методы и процедуры (TTP), а также индикаторы компрометации (IOCs) приведены в рекомендациях, которые помогут сетевым защитникам выявлять угрозы и смягчать их.

Рекомендации для организаций с критически важной инфраструктурой включают внедрение политики надежных паролей, включение многофакторной аутентификации и мониторинг подозрительных действий, таких как невозможность входа в систему и необычные строки пользовательского агента.

В рекомендациях содержится предостережение от того, чтобы полагаться исключительно на совпадающие TTP и IOC для оценки атрибуции, поскольку сторонние субъекты могут быть вовлечены в киберактивность, связанную с иранской группой.

#ParsedReport #CompletenessMedium
16-10-2024

Triad UAC-0050: cyberespionage, financial crimes, information and psychological operations

https://cert.gov.ua/article/6281009

Report completeness: Medium

Actors/Campaigns:
Uac-0050 (motivation: cyber_espionage)
Uac-0006 (motivation: cyber_espionage)

Threats:
Remcos_rat
Tektonitrms
Meduza
Lumma_stealer
Xenorat
Sectop_rat
Mars_stealer
Darktrack_rat
Rms_tool

Victims:
Enterprises, Individual entrepreneurs

Industry:
Financial, Government

Geo:
Ukrainian, Ukraine

ChatGPT TTPs:
do not use without manual check
T1105, T1059, T1005, T1566

IOCs:
Hash: 128
File: 47
Url: 31
IP: 27
Domain: 13
Path: 9
Registry: 5
Command: 3

Win Services:
WebClient

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что хакерская группа UAC-0050, находящаяся под наблюдением CERT-UA, нацелена на украинские предприятия и индивидуальных предпринимателей путем проведения кибератак, связанных с несанкционированным доступом к компьютерам, кражей средств и распространением вредоносного программного обеспечения, подчеркивая необходимость усиления мер кибербезопасности для снижения рисков, связанных с этим. деятельность группы.
-----

Хакерская группа UAC-0050 долгое время находилась под наблюдением правительственной группы реагирования на компьютерные чрезвычайные ситуации (CERT-UA). Деятельность этой группы связана с несанкционированным доступом к компьютерам бухгалтеров с использованием таких программ, как REMCOS и TEKTONITRMS. В период с сентября по октябрь 2024 года группа предприняла по меньшей мере 30 попыток хищения средств украинских предприятий и индивидуальных предпринимателей путем проведения поддельных финансовых транзакций через системы дистанционного банковского обслуживания. Суммы похищенных средств варьировались от десятков тысяч до нескольких миллионов гривен, причем кражи происходили в течение нескольких часов или дней после первоначального взлома компьютера.

Как UAC-0006 (с 2013 года), так и UAC-0050 причастны к хищению средств у физических и юридических лиц, часто конвертируя украденные деньги в криптовалюту для облегчения финансирования дальнейших киберпреступлений и финансирования покупки лицензионного программного обеспечения для борьбы с различными киберугрозами. Группа использует широкий спектр вредоносных программ, таких как REMCOS, TEKTONITRMS, MEDUZASTEALER, LUMMASTEALER, XENORAT, SECTOPRAT, MARSSTEALER и DARKTRACKRAT. Более того, UAC-0050 участвует в информационно-психологических операциях, выдавая себя за группу "Пожарные ячейки", распространяя сообщения о строительстве шахт, заказных убийствах или порче имущества.

Бухгалтерам, использующим системы дистанционного банковского обслуживания, рекомендуется усилить меры безопасности, такие как включение дополнительной проверки подлинности платежей, применение стандартных политик безопасности (SRP/AppLocker) и установка программных средств защиты (EDR, антивирус). В сентябре-октябре 2024 года группа провела более 15 кибератак, примеры цепочек заражения приведены в тексте. Были идентифицированы связанные с этими кибератаками вредоносные файлы и записи реестра, которые пытались украсть информацию и выполнить несанкционированные команды в скомпрометированных системах.

Деятельность группы связана с загрузкой и выполнением вредоносных программ с помощью закодированных команд, скрытых в файлах изображений, полученных по определенным URL-адресам. После успешной загрузки полезной информации по предоставленным ссылкам группа расшифровывает команды, встроенные в изображения, и выполняет их, чтобы инициировать вредоносные действия в скомпрометированных системах. Кроме того, группа использует такие методы, как доступ к удаленным хостам и манипулирование реестром Windows, для достижения своих целей.

Учитывая изощренную тактику группы и потенциальное влияние ее деятельности как на отдельных пользователей, так и на предприятия, организациям крайне важно принимать строгие меры кибербезопасности, включая регулярные оценки безопасности, обучение сотрудников выявлению подозрительных действий и обновление систем и программного обеспечения для снижения риска стать жертвами таких киберугроз.

#ParsedReport #CompletenessLow
16-10-2024

Vulnerable Scripts: Our SOC Uncovers Chain of Online Store Hacks

https://hoster.by/clients/news/15305

Report completeness: Low

Threats:
Xmrig_miner

Industry:
Government

ChatGPT TTPs:
do not use without manual check
T1059.005, T1190

IOCs:
IP: 26
File: 5
Hash: 2

Soft:
bitrix, unix, Wordpress, Drupal, Joomla, cPanel

Algorithms:
md5

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается уязвимость в системе безопасности PHP-файлов, которая позволяет злоумышленникам внедрять вредоносный код, приводящий к удаленному выполнению кода. Уязвимость связана с недостаточной проверкой вводимых данных и неправильным использованием функции unserialize, что позволяет злоумышленникам манипулировать переменной "arParams" для незаконных действий, таких как добыча криптовалюты. В тексте подчеркивается важность принятия незамедлительных мер по остановке вредоносных процессов, обновлению паролей и защите системы управления контентом для предотвращения дальнейшего использования злоумышленниками.
-----

В тексте обсуждается уязвимость безопасности, обнаруженная в файлах, которые неправильно проверяют вводимые пользователем данные и используют небезопасную функцию unserialize в PHP. Эта уязвимость позволяет злоумышленникам внедрять вредоносный код в запросы POST, что приводит к удаленному выполнению кода (RCE) во время десериализации. В частности, переменная "arParams" подвержена манипуляциям, что позволяет добавлять полезные данные, такие как "cat /etc/passwd", для получения конфиденциальной системной информации. Злоумышленники использовали эту уязвимость для загрузки веб-оболочек, что облегчало установку майнера криптовалюты на скомпрометированные системы.

После обнаружения и анализа вредоносных файлов, включая обфусцированную веб-оболочку (файл 3.php) и веб-оболочку, ответственную за запуск майнера (файл 4.php), следователи по кибербезопасности также определили IP-адреса злоумышленников, причастных к инцидентам. Было обнаружено, что майнер (xmrig) работает под учетной записью "битрикс" в скомпрометированных системах. Хотя не было выявлено никаких доказательств прямого ущерба конфиденциальным данным клиентов, целью злоумышленников, по-видимому, была незаконная добыча криптовалюты.

Для устранения выявленной уязвимости и уменьшения угрозы рекомендуется выполнить следующие действия:.

Остановите вредоносные процессы.

Измените пароли для всех учетных записей, связанных с 1С-Битрикс.

Своевременно обновляйте систему управления контентом (CMS) и ее модули до последних версий.

Если немедленное обновление программного обеспечения невозможно, измените определенные сценарии, такие как reload_basket_fly.php, show_basket_fly.php и show_basket_popup.php, заменив уязвимый код более безопасными альтернативами, такими как "$arParams = json_decode($_REQUEST["ПАРАМЕТРЫ"\])`.

Хотя это временное решение помогает защитить веб-сайт от несанкционированного доступа в процессе обновления программного обеспечения, может потребоваться дополнительная помощь со стороны службы технической поддержки. Кроме того, команда по кибербезопасности готова предоставить постоянную поддержку и рекомендации для предотвращения будущих инцидентов. Важно действовать оперативно для устранения уязвимостей в системе безопасности и защиты от потенциальных утечек данных или дальнейшего использования систем.

Таким образом, в тексте подчеркивается критическая проблема безопасности, связанная с недостаточной проверкой вводимых данных и использованием уязвимых функций в PHP, что приводит к удаленному выполнению кода и несанкционированному доступу. Быстрые действия, тщательное расследование и превентивные меры безопасности имеют решающее значение для защиты систем и предотвращения вредоносных действий со стороны злоумышленников.

#ParsedReport #CompletenessMedium
15-10-2024

Analysis of cyberattacks from North Korea and Konni attack artifacts

https://www.igloo.co.kr/security-information/%EB%B6%81%ED%95%9C%EB%B0%9C-%EC%82%AC%EC%9D%B4%EB%B2%84-%EA%B3%B5%EA%B2%A9%EA%B3%BC-%EC%BD%94%EB%8B%88konni%EC%9D%98-%EA%B3%B5%EA%B2%A9-%EC%95%84%ED%8B%B0%ED%8C%A9%ED%8A%B8-%EB%B6%84%EC%84%9D/

Report completeness: Medium

Actors/Campaigns:
Scarcruft (motivation: hacktivism, financially_motivated, information_theft)
Kimsuky
Andariel
Lazarus
Shell_crew
Red_delta
Psoa (motivation: financially_motivated)
Punk-003

Threats:
Supply_chain_technique
Konni_rat
Nokki
Reaper
Spear-phishing_technique
Amadey
Rftrat
Xrat_rat
Lilith_rat

Industry:
Government

Geo:
Korean, Iran, Asia, Korea, North korean, China, North korea, Russia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566.001, T1204.002, T1059.001, T1027, T1071.001, T1105, T1053.005, T1070.004

IOCs:
File: 13
Hash: 10
Path: 1
Url: 17
IP: 1

Soft:
curl, task scheduler, WordPress

Algorithms:
base64, xor, rc4, zip, md5

Languages:
php, autoit, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обсуждении тенденций в области киберугроз со стороны Северной Кореи, в частности, с акцентом на группу Konni group и объединение атакующих групп из таких стран, как Северная Корея, Иран, Россия и Китай. В нем подчеркивается растущее участие спонсируемых государством групп кибератак в различных вредоносных действиях по всему миру и усилия организаций по классификации информации об этих группах и управлению ею. В тексте также анализируется типичная атака, проведенная Konni group, с подробным описанием использования вредоносных файлов, методов кражи информации и изменений в векторах атак и типах вредоносных программ. Кроме того, в нем рассматриваются ключевые особенности артефакта вредоносной атаки Konni и методы распространения, используемые злоумышленниками.
-----

Тенденции в области киберугроз в Северной Корее и группировка атакующих групп с акцентом на группу "Конни".

Спонсируемые государством группы кибератак из Северной Кореи, Ирана, России и Китая занимались кражей информации, атаками на цепочки поставок и провоцировали социальные волнения.

Национальный центр кибербезопасности опубликовал рекомендации, касающиеся спонсируемых государством групп кибератак из Северной Кореи в 2024 году.

Различные организации используют различные методы для классификации и присвоения имен группам атак, таким как APT37, APT38, Kimsuky, Lazarus и Konni.

Konni group отследила вредоносную программу Konni RAT, действующую с 2014 года и нацеленную на Россию и Корею с помощью вредоносных электронных писем и вложений.

Анализ типичной атаки, проведенной группой Konni group с использованием вредоносного файла LNK типа dropper и запутанных команд PowerShell.

Konni group совершенствует свои векторы атак и типы вредоносных программ, переходя к вредоносным программам типа "загрузчик".

Распространение вредоносного ПО с помощью методов социальной инженерии с целью вызвать беспокойство у получателей, используя ключевые слова, связанные с налогообложением.

Подробное изучение ключевых характеристик артефакта вредоносной атаки Konni, в частности вредоносного ПО LNK, и характеристик C2, использованного при атаке.

#ParsedReport #CompletenessMedium
17-10-2024

Suspected Mysterious Elephant group uses CHM files to attack multiple countries in South Asia

https://www.ctfiot.com/210297.html

Report completeness: Medium

Actors/Campaigns:
Mysterious_elephant

Threats:
Orpcbackdoor
Confuserex_tool
Walkershell
Demotryspy
Nixbackdoor

Victims:
Government agencies, Defense military, Diplomatic departments

Industry:
Military, Financial, Government

Geo:
Asian, China, Bangladesh, Pakistan, Asia, Myanmar

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059, T1204, T1027, T1071

IOCs:
Domain: 1
File: 6
Url: 5
IP: 9
Hash: 41

Soft:
Android, WeChat

Algorithms:
md5, base64, aes

Functions:
GetIpInfo

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - обсуждение хакерской группы под названием Mysterious Elephant, которая идентифицируется как южноазиатская организация APT. Группа связана с новым бэкдором или PCBACKDOOR и ассоциируется с организацией Bitter. В тексте также освещаются методы атаки группы, в том числе использование файлов CHM в фишинговых атаках, нацеленных на министерство обороны и военные ведомства Пакистана. Кроме того, в нем упоминаются проблемы, связанные с отличием Mysterious Elephant от Bitter, и даются рекомендации по усилению защиты кибербезопасности от подобных угроз.
-----

В тексте рассказывается о хакерской группе под названием Mysterious Elephant, которая была идентифицирована Касперским как южноазиатская организация APT. Было обнаружено, что группа использует новый бэкдор ORPCBackdoor, связанный с организацией Bitter. Группа Mysterious Elephant имеет сходство с организацией Bitter в методах и целях атак, включая такие страны, как Пакистан. Недавние открытия Центра анализа угроз Qi'anxin свидетельствуют об использовании CHM-файлов, содержащих информацию-приманку, относящуюся к странам Южной Азии, в фишинговых атаках, в частности, нацеленных на министерство обороны и военные ведомства Пакистана.

Злоумышленники распространяют образцы фишинга в зашифрованных сжатых пакетах, скрывая бэкдоры на C# в файлах CHM. Эти бэкдоры используют асинхронное программирование задач и ConfuserEx для обфускации, позволяя удаленно выполнять команды и поддерживать различные команды атаки. Информация о сервере C2 для бэкдора получается различными способами, включая жестко заданные значения в коде или расшифровку файлов конфигурации. Злоумышленники используют идентификационную информацию жертв, основанную на именах хостов и пользователей зараженных устройств.

В тексте подчеркивается, что отраслевые эксперты и исследователи в области безопасности не пришли к единому мнению о том, как отличить Mysterious Elephant от Bitter, из-за сложных связей между организациями APT в Южной Азии. В статье предполагается, что специальные образцы атак CHM и бэкдоры C#, вероятно, были созданы Mysterious Elephant на основе сходства образцов вредоносных программ. Кампания атак группировки нацелена на несколько стран Южной Азии, при этом особое внимание уделяется правительственным учреждениям, оборонным, военным и дипломатическим ведомствам.

Более того, злоумышленники маскируют свои действия, имитируя методы атаки red team и используя менее распространенные методы атаки с использованием файлов CHM, запускающих внешние бэкдоры на C#. Они используют, казалось бы, законные сетевые сервисы для получения информации о сервере C2 и адаптируют свою тактику, чтобы избежать обнаружения. Использование ложного PDF-контента и непротиворечивой информации о сервере C2 в образцах атак на Пакистан свидетельствует о преднамеренных усилиях, направленных на конкретные объекты в регионе.

В свете этих угроз Центр анализа угроз Qi'anxin рекомендует пользователям быть осторожными в отношении фишинговых атак, воздерживаться от открытия неизвестных ссылок или вложений электронной почты, избегать запуска подозрительных файлов и устанавливать приложения только из официальных источников. Также рекомендуется регулярно создавать резервные копии важных файлов и обновлять программное обеспечение с помощью исправлений, чтобы усилить защиту кибербезопасности от новых угроз, исходящих от таких групп, как Mysterious Elephant.

#ParsedReport #CompletenessLow
18-10-2024

Silent Threat: Red Team Tool EDRSilencer Disrupting Endpoint Security Solutions

https://www.trendmicro.com/en_us/research/24/j/edrsilencer-disrupting-endpoint-security-solutions.html

Report completeness: Low

Threats:
Edrsilencer_tool
Fireblock_tool
Nighthawk_tool
Tanium_tool
Edrnoisemaker_tool

TTPs:
Tactics: 5
Technics: 7

IOCs:
File: 45
Hash: 1

Soft:
Microsoft Defender for Endpoint, Microsoft Defender, PccNTMon

Win Services:
ekrn, MsMpEng, SentinelAgent, LogProcessorService, TmListen, Ntrtscan, CNTAoSMgr, TmCCSF

Links:
https://github.com/amjcyber/EDRNoiseMaker
https://github.com/netero1010/EDRSilencer?tab=readme-ov-file
https://github.com/netero1010/EDRSilencer
have more...

#ParsedReport #ExtractedSchema

Classified images:
windows: 15, code: 5, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что злоумышленники злоупотребляют инструментом red team EDRSilencer, который позволяет им избегать обнаружения и скрывать вредоносные действия, нарушая передачу телеметрии и оповещений на консоли управления EDR. Это создает серьезные проблемы для систем обнаружения конечных точек и реагирования на них, и организациям настоятельно рекомендуется принимать упреждающие и адаптивные меры безопасности для противодействия таким угрозам.
-----

Команда Trend Micro по поиску угроз выявила тревожную тенденцию, связанную со злоупотреблением злоумышленниками инструментом red team под названием EDRSilencer. Изначально разработанный для создания помех решениям по обнаружению конечных точек и реагированию на них с помощью платформы фильтрации Windows, EDRSilencer в настоящее время активно используется злоумышленниками для уклонения от обнаружения и сокрытия вредоносных действий. Этот инструмент нарушает передачу телеметрии и предупреждений на консоли управления EDR, что затрудняет обнаружение и удаление вредоносных программ, блокируя исходящую связь из процессов EDR.

Инструмент динамически идентифицирует запущенные процессы EDR и создает фильтры WFP для эффективной блокировки их взаимодействия. Во время тестирования обнаруживается, что даже процессы, изначально не включенные в жестко запрограммированный список, блокируются, что демонстрирует эффективность инструмента в предотвращении обнаружения. Инструменты EDR, необходимые для мониторинга конечных точек на предмет вредоносной активности, становятся неэффективными из-за EDRSilencer, что позволяет вредоносному ПО оставаться скрытым в системах и избегать обнаружения.

В ответ на эту возникающую угрозу команда Trend Micro Threat Hunting подчеркивает критическую важность понимания того, как работает EDRSilencer, для разработки эффективных контрмер. Они провели тесты с использованием EDRNoiseMaker, инструмента, предназначенного для выявления процессов, заблокированных EDRSilencer. Применив фильтры WFP с помощью специальных команд, они успешно подтвердили способность инструмента блокировать связь между определенными процессами, эффективно избегая обнаружения.

Цепочка атак, связанная с EDRSilencer, включает в себя несколько этапов, включая обнаружение процессов, их выполнение и повышение привилегий. Инструмент настраивает постоянные фильтры WFP для блокировки исходящих сетевых сообщений, обеспечивая их эффективность даже после перезагрузки системы. Предотвращая отправку телеметрии и предупреждений процессами EDR на консоли управления, EDRSilencer позволяет вредоносным действиям оставаться незамеченными, повышая риск успешных атак.

Наблюдения команды Threat Hunting показывают, что злоумышленники все чаще используют средства защиты от EDR в своих стратегиях атак. Эта тенденция свидетельствует о постоянном развитии угроз, поскольку злоумышленники постоянно ищут средства для отключения антивирусов и EDR-решений. Появление EDRSilencer представляет собой изменение тактики, повышающее скрытность вредоносных действий и создающее серьезные проблемы для систем обнаружения конечных точек и реагирования на них.

Чтобы противостоять этим развивающимся угрозам, организациям настоятельно рекомендуется принимать упреждающие и адаптивные меры безопасности, используя многоуровневую защиту и непрерывный мониторинг. Передовые механизмы обнаружения и стратегии поиска угроз необходимы для противодействия таким сложным инструментам, как EDRSilencer, и защиты цифровых активов. Trend Micro по-прежнему привержена усилению мер безопасности и обмену информацией для защиты от будущих атак.

Клиенты Trend Micro могут получать доступ к аналитическим отчетам и информации об угрозах с помощью Trend Micro Vision One, чтобы опережать киберугрозы и быть лучше подготовленными к возникающим рискам. Используя эту информацию, клиенты могут принимать упреждающие меры для защиты своей среды, снижения рисков и эффективного реагирования на возникающие угрозы.

#ParsedReport #CompletenessLow
18-10-2024

From QR to compromise: The growing "quishing" threat

https://news.sophos.com/en-us/2024/10/16/quishing

Report completeness: Low

Threats:
Qshing_technique
Spear-phishing_technique
Aitm_technique
Onnx_store_tool
Domain_fronting_technique

Victims:
Sophos, Sophos employees, Sophos customers

Geo:
Brazilian

TTPs:
Tactics: 5
Technics: 6

Soft:
Telegram

Languages:
javascript

Links:
https://github.com/sophoslabs/IoCs/blob/master/IOC\_quishing2024.csv
https://github.com/sophoslabs/IoCs/tree/master

#ParsedReport #ExtractedSchema

Classified images:
windows: 5, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники используют QR-коды, чтобы обманом заставить сотрудников Sophos предоставить учетные данные для входа в систему и токены MFA с помощью сложных методов фишинга. Используя индивидуальные PDF-документы и привычный бренд, такой как DocuSign, злоумышленники стремятся обмануть пользователей и обойти защиту сети. Для борьбы с такими угрозами необходимы многоуровневый подход к обеспечению безопасности и бдительный персонал.
-----

Команда Sophos X-Ops расследовала фишинговые атаки, направленные против сотрудников Sophos, с использованием метода, называемого quishing, который заключается в отправке QR-кодов через вложения в электронную почту. Злоумышленники подделывали электронные письма, чтобы они выглядели законными, и содержали несоответствия и ошибки для обмана получателей. Когда злоумышленники отсканировали QR-код, они были перенаправлены на фишинговую страницу, напоминающую диалоговое окно входа в Microsoft 365, управляемое злоумышленником. На фишинговой странице были обнаружены учетные данные для входа и токены MFA. Злоумышленники использовали ONNX Store, платформу, доступ к которой осуществляется через Telegram-ботов, которая использует функции защиты от ботов и зашифрованный JavaScript-код для маскировки вредоносных веб-сайтов.

Фишинговые атаки с использованием QR-кодов направлены на обход функций сетевой защиты в программном обеспечении endpoint security, направляя жертв на вредоносные веб-сайты с их менее защищенных мобильных устройств. Злоумышленники совершенствуют методы обработки PDF-документов, настраивая их таким образом, чтобы они содержали информацию о целевых лицах, и используют узнаваемый бренд, такой как DocuSign, для обмана пользователей. Они используют различные методы перенаправления, чтобы запутать целевые URL-адреса, включая ссылки через законные сервисы, такие как Google для сокращения URL-адресов.

Несмотря на меры безопасности и наличие хорошо обученного персонала, угрозы фишинга сохраняются и развиваются. Многоуровневая защита и бдительный персонал, сообщающий о подозрительных действиях, имеют решающее значение для предотвращения успешных фишинговых атак. Формирование культуры безопасности повышает защищенность организации от киберугроз.