#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что компания по разведке киберугроз обнаружила очень сложный вариант программы-вымогателя под названием "ELPACO-team", который представляет значительную угрозу для частных лиц и организаций по всему миру. Программа-вымогатель использует многогранный подход к компрометации систем, использует как вредоносные, так и законные инструменты, шифрует файлы и обеспечивает их сохранность. Анализ показывает сложность и техническое совершенство программ-вымогателей, подчеркивая необходимость в надежных стратегиях защиты и упреждающих мерах для защиты от появляющихся угроз со стороны программ-вымогателей.
-----

Исследовательская группа CYFIRMA обнаружила сложный двоичный код-дроппер, предназначенный для развертывания программы-вымогателя "ELPACO-team", нового варианта программы-вымогателя "MIMIC". Эта программа-вымогатель отличается высокой степенью сложности и представляет серьезную угрозу как для частных лиц, так и для организаций. Он использует многогранный подход к компрометации систем, используя как вредоносные, так и законные средства для отключения защиты, шифрования файлов и обеспечения их сохранности. Программа-вымогатель нацелена на критически важные файлы на локальных и сетевых дисках, оставляя жертвам уведомление о требовании выкупа, но исключая важные системные файлы для поддержания работоспособности системы.

Основной двоичный файл, ELPACO-teamv.exe, действует как загрузчик и извлекает дополнительную полезную информацию с помощью таких инструментов, как 7za.exe. Он включает в себя легальные утилиты и вредоносные программы для получения выкупа, такие как xdel.exe и ELPACO-team.exe. После выполнения он отключает функции восстановления системы, изменяет конфигурации и предотвращает работу виртуальной машины. Программа-вымогатель шифрует различные типы файлов с расширением ELPACO-team, присваивает каждой жертве уникальный идентификатор для расшифровки и отправляет сообщение о требовании оплаты. Он изменяет реестр для обеспечения сохраняемости, изменяет конфигурации загрузки и использует скрытые методы, препятствующие восстановлению и судебно-медицинскому анализу.

Программы-вымогатели, включая семейство "MIMIC", такое как "ELPACO-team", по-прежнему представляют собой распространенную угрозу, нацеленную на организации по всему миру и приводящую к финансовым потерям, сбоям в работе и юридическим осложнениям. Распространение программ-вымогателей как услуг (RaaS) снизило барьер для проникновения злоумышленников, что привело к более изощренным и широкомасштабным атакам. APT-группы и киберпреступные синдикаты часто организуют атаки с использованием программ-вымогателей, преследуя геополитические цели или финансовую выгоду. В настоящее время эти угрозы включают в себя утечку данных и публичные угрозы, что повышает риски для жертв.

Анализ программы-вымогателя "ELPACO-team" показывает, что она использует легальные инструменты и пользовательскую полезную нагрузку для проведения скрытых кибератак. Она может отключать функции безопасности, изменять конфигурации и эффективно шифровать файлы, демонстрируя высокий уровень технического мастерства. Программа-вымогатель обеспечивает непрерывную работу с помощью постоянных механизмов и тактики защиты от отключения, нацеливаясь на важные пользовательские данные и исключая критические системные файлы. Организации должны применять надежные стратегии защиты, включая обнаружение конечных точек и регулярное резервное копирование данных, чтобы смягчить последствия таких атак. Для защиты от появляющихся угроз со стороны программ-вымогателей необходимы упреждающие меры, такие как обучение пользователей и повышение надежности системы.

#ParsedReport #CompletenessLow
20-11-2024

SVG(Scalable Vector Graphics)

https://asec.ahnlab.com/ko/84646

Report completeness: Low

Threats:
Asyncrat

ChatGPT TTPs:
do not use without manual check
T1204.002, T1566.001, T1105, T1027

IOCs:
Hash: 4

Soft:
Dropbox

Algorithms:
base64, md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что наблюдается всплеск распространения вредоносного ПО SVG (масштабируемая векторная графика) кибератаками, которые используют уникальные характеристики файлов SVG для распространения вредоносных программ-загрузчиков и фишинговых программ с помощью фишинговых электронных писем. Вредоносные файлы SVG содержат встроенные гиперссылки или запутанный JS-код, которые могут привести к загрузке дополнительных вредоносных программ или утечке конфиденциальной информации. Пользователям рекомендуется проявлять осторожность при открытии вложений электронной почты в формате SVG, чтобы не стать жертвами этих угроз.
-----

ASEC подтвердила всплеск распространения вредоносного ПО SVG (Scalable Vector Graphics). Файлы SVG - это формат файлов на основе XML, используемый для масштабируемой векторной графики, такой как значки, диаграммы и графические изображения, с уникальной возможностью включения CSS и JS в их код. Киберпреступники используют эти характеристики для распространения различных типов вредоносных программ в формате SVG, которые обычно включаются в виде вложений в фишинговые электронные письма.

Когда пользователи открывают SVG-файл, он обычно отображается в веб-браузере. Недавно распространенное вредоносное ПО SVG делится на две основные категории: тип загрузчика и тип фишинга. Тип загрузчика предлагает пользователям загружать PDF-файлы, используя гиперссылки в SVG-коде, в то время как тип фишинга обманывает пользователей, заставляя их предоставлять информацию об учетной записи под видом проверки документов Excel.

Анализ внутреннего кода распространяемого вредоносного по SVG позволяет выявить особенности его работы. Тип загрузчика включает гиперссылки в элемент содержимого изображения для загрузки дополнительного вредоносного ПО с хостинговых сервисов, таких как Dropbox и Bitbucket. Загруженные файлы представляют собой защищенные паролем сжатые архивы, содержащие вредоносное ПО AsyncRat, известное своими функциями утечки данных и бэкдора. С другой стороны, тип фишинга включает в себя запутанный JS-код внутри элементов содержимого изображения, который кодирует введенную информацию учетной записи в Base64 и отправляет ее на сервер злоумышленника.

Эти вредоносные коды в формате SVG предназначены для того, чтобы избежать обнаружения, смешивая свои вредоносные функции с элементами графического контента, что затрудняет для обычных пользователей идентификацию их как вредоносных. В связи с растущей тенденцией создания вредоносных кодов в различных форматах, включая SVG, пользователям рекомендуется проявлять осторожность при работе с вложениями электронной почты из неизвестных источников, особенно в формате SVG.

#ParsedReport #CompletenessMedium
20-11-2024

Analysis of APT-C-36 (Blind Eagle)'s recent forged judicial documents and injected DcRat backdoor

https://www.ctfiot.com/216135.html

Report completeness: Medium

Actors/Campaigns:
Blindeagle

Threats:
Dcrat
Ande_loader
Amsi_bypass_technique
Double_kill_vuln
Double_star_vuln
Nightmare_formula_vuln

Victims:
Government departments, Large companies

Industry:
Financial, Government

Geo:
Colombian, Ecuador, Turkey, Colombia, Spanish, Panama, America, Mexico

ChatGPT TTPs:
do not use without manual check
T1566, T1059.001, T1027, T1053.005, T1105, T1055.001

IOCs:
File: 4
Domain: 1
Hash: 9
Url: 8

Soft:
WeChat

Algorithms:
base64, zip

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: APT-C-36, также известная как Blind Eagle, - это организация APT, базирующаяся в Южной Америке и нацеленная на такие страны, как Колумбия, использующая такие тактики, как фишинговые электронные письма и маскировка вредоносных документов, для внедрения бэкдоров и троянских программ удаленного доступа. Исследователи в области безопасности выявили деятельность группы в различных испаноязычных регионах, что свидетельствует о продолжающемся развитии и совершенствовании методов их атак. Кроме того, 360 Advanced Threat Research Institute играет решающую роль в обнаружении и анализе современных киберугроз, внося свой вклад в усилия по обеспечению национальной сетевой безопасности.
-----

APT-C-36, известная как Blind Eagle, - это группировка APT, которая, как предполагается, базируется в Южной Америке и нацелена на Колумбию, Эквадор, Панаму и другие регионы.

Они используют сжатые пакеты UUE для маскировки вредоносных действий, включая подделку судебных документов для распространения бэкдора DcRat.

Фишинговые электронные письма с вредоносными файлами UUE/ZIP используются для того, чтобы обманом заставить пользователей загружать вредоносное ПО со сторонних облачных платформ.

Злоумышленники используют запутанные скрипты, обозначаемые суффиксом WSF, для выполнения вредоносных команд и создания постоянных запланированных задач.

Группа использует скрытый вредоносный код в DLL-файлах для загрузки и выполнения полезных загрузчиков AndeLoader и DcRat.

APT-C-36 использует постоянные документы-приманки, такие как поддельные документы Министерства юстиции Испании, для обмана целей.

Их деятельность распространяется за пределы Колумбии на испаноязычные регионы, такие как Мексика, Эквадор и Турция, а меняющаяся тактика намекает на продолжение изощренных атак в будущем.

360 Advanced Threat Research Institute играет ключевую роль в обнаружении, защите от передовых киберугроз и проведении исследований, выявлении атак нулевого дня и предоставлении информации о национальных группах APT, повышая эффективность усилий по обеспечению сетевой безопасности.

#ParsedReport #CompletenessLow
20-11-2024

Identify Infrastructure Linked To LockBit 3.0 Ransomware Affiliates By ZoomEye Enhanced New Syntax. 1. Abstract

https://medium.com/@knownsec404team/identify-infrastructure-linked-to-lockbit-3-0-ransomware-affiliates-by-zoomeye-enhanced-new-syntax-2e75b01bd978?source=rss-f1efd6b74751------2

Report completeness: Low

Threats:
Lockbit
Teamviewer_tool
Citrix_bleed_vuln
Trickbot
Sliver_c2_tool

Victims:
Boeing

Industry:
Healthcare, Aerospace, Financial

ChatGPT TTPs:
do not use without manual check
T1486, T1583

IOCs:
IP: 6
Hash: 3
File: 6

Soft:
ZoomEye, ASP.NET, debian

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что LockBit 3.0 - это масштабная программа-вымогатель, использующая модель "Программа-вымогатель как услуга", в которой филиалы нацелены на различные сектора для кражи данных, шифрования систем и вымогательства выкупа. Команда CISA и OSINT провела исследования и анализ для выявления инфраструктуры, связанной с LockBit, используя такие методы, как анализ показателей компрометации, IP-адресов, отпечатков SSL-сертификатов и поведенческого картирования для отслеживания и атрибуции атак.
-----

LockBit 3.0 - это известная программа-вымогатель, которая работает по модели "Программа-вымогатель как услуга" (RaaS). Независимые хакеры, известные как филиалы LockBit 3.0, используют вредоносное программное обеспечение для проведения атак на различные компании и учреждения. Эти аффилированные лица работают на основе распределения прибыли и используют инструменты и инфраструктуру LockBit для кражи конфиденциальных данных и систем шифрования, принуждая жертв к выплате выкупа, угрожая утечкой данных. Основными целями LockBit 3.0 являются такие секторы, как финансы, производство, здравоохранение и авиация, с известными атаками, подобными атаке на Boeing в 2023 году.

21 ноября 2023 года CISA опубликовала отчет о LockBit 3.0, в котором были выявлены многочисленные индикаторы компрометации (IOCS). Впоследствии, 24 ноября 2023 года, команда OSINT опубликовала сообщение в блоге, в котором проанализировала данные из отчета CISA. Они использовали данные IOC из обоих отчетов и использовали поисковую систему ZoomEye в киберпространстве с улучшенным синтаксисом и концепцией "поведенческого картирования" для проведения многомерного анализа данных о сетевых активах за прошедший год, чтобы выявить больше инфраструктуры, связанной с LockBit.

Исследования, основанные на исходной таблице IOC из отчета CISA, были сосредоточены на IP-адресе, связанном с сервером Teamviewer C2, а именно на "185.17.40.178", который имел уникальный отпечаток SSH. Этот IP-адрес в дальнейшем использовался в качестве начальной подсказки для отслеживания и анализа на первом уровне с использованием данных картографирования сетевых активов за последний год. Информация о таких поставщиках услуг, как "M247 Europe SRL" и "Artnet Sp. z o.o.", указывала на различные уровни риска мошенничества, связанные с их IP-адресами.

Последующий анализ включал запрос VirusTotal на наличие вредоносных IP-адресов, в результате чего было идентифицировано 53 IP-адреса, помеченных как "LockBit 3.0". Дальнейшие исследования, основанные на этих IP-адресах и отпечатках SSL-сертификатов, выявили дополнительную инфраструктуру, предположительно связанную с LockBit, включая уникальные отпечатки SSL-сертификатов, обнаруженные на ZoomEye, которые указывают на осторожный подход злоумышленников, чтобы избежать обнаружения.

Для определения потенциальной инфраструктуры LockBit были применены методы поведенческого картирования с использованием таких функций, как значения SSL-сертификата JARM и конкретные поля эмитента SSL-сертификата и темы. Объединение этих функций с известными поставщиками услуг, такими как "M247" и "ARTNET", позволило получить дополнительные IP-адреса и доменные имена, предположительно связанные с LockBit.

#ParsedReport #CompletenessMedium
20-11-2024

Helldown Ransomware: an overview of this emerging threat

https://blog.sekoia.io/helldown-ransomware-an-overview-of-this-emerging-threat

Report completeness: Medium

Threats:
Helldown
Advanced-port-scanner_tool
Shadow_copies_delete_technique
Vssadmin_tool
Darkrace
Hellcat
Quickheal
Lockbit

Victims:
Zyxel, Schneider electric

Industry:
Energy

Geo:
France, Emea, Russia

CVEs:
CVE-2024-42057 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: False
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- zyxel zld firmware (<5.39)


ChatGPT TTPs:
do not use without manual check
T1059, T1486, T1489, T1112, T1078, T1190, T1135, T1021, T1490

IOCs:
File: 2
Hash: 13
Command: 1
Path: 2

Soft:
Linux, Zyxel, Microsoft Office, Chrome, esxcli

Algorithms:
xor, base64, sha256

Functions:
ReadMe

Win API:
AllocateAndInitializeSid, CheckTokenMembership

Platforms:
intel, mips

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в анализе группы программ-вымогателей Helldown, включая их тактику, методы и процедуры (TTP), их эволюцию от использования систем Windows до Linux, их методы работы, действия, целевые жертвы, потенциальные связи с другими группами программ-вымогателей, а также необходимость постоянного мониторинга и анализа чтобы смягчить угрозы.
-----

В блоге представлен подробный анализ тактики, методов и процедур группы программ-вымогателей Helldown (TTP). Helldown - это относительно новая программа для взлома (IS), которая изначально была известна тем, что внедряла программы-вымогатели исключительно в системах Windows. Однако 31 октября 2024 года команда Sekoia по обнаружению и исследованию угроз (TDR) обнаружила твит, в котором говорилось о появлении версии Linux, ориентированной на системы Linux. Группа активна и использует свои собственные программы-вымогатели, применяя тактику двойного вымогательства, выуживая данные и угрожая опубликовать их, если требования о выкупе не будут выполнены.

По состоянию на 7 ноября 2024 года в результате атаки Helldown был выявлен 31 случай компрометации. Жертвами в основном стали предприятия малого и среднего бизнеса, а Zyxel Europe, поставщик сетевых решений и решений для кибербезопасности, является одной из крупных пострадавших компаний. Большинство жертв находятся в Соединенных Штатах, но их значительное присутствие наблюдается в Европе, особенно во Франции. Активность группы меняется с течением времени, с заметными всплесками и спадами в ее деятельности.

Методы работы группы включают использование уязвимостей для проникновения в сети и осуществления программ-вымогателей. Поведение программ-вымогателей Helldown включает в себя такие действия, как удаление теневых копий системы, шифрование файлов случайными строками, изменение значков файлов, создание уведомлений о требовании выкупа и выполнение действий после шифрования, таких как выключение зараженных компьютеров. Анализ показывает, что программа-вымогатель имеет сходство с программой-вымогателем Darkrace, что указывает на потенциальную связь между этими двумя группами.

Кроме того, анализ Linux-версии программы-вымогателя Helldown, нацеленной на серверы VMware ESX, выявил ее функциональность, включая шифрование файлов на основе указанных расширений, создание уведомления о требовании выкупа и действия по предоставлению программе-вымогателю доступа на запись к файлам изображений. Хотя программа-вымогатель обладает некоторыми возможностями, она, по-видимому, менее сложна и, возможно, все еще находится в стадии разработки.

Кроме того, возникли дискуссии относительно возможной связи между группами программ-вымогателей Helldown и Hellcat после предполагаемого взлома с участием Schneider Electric сайта об утечке данных Hellcat (DLS). Однако на основе имеющихся данных не было выявлено никаких определенных связей между этими двумя группами. Обе группы, по-видимому, действуют независимо друг от друга, с различными характеристиками и операциями.

Исследование подчеркивает активный характер группы Helldown, их нацеленность на устранение нераскрытых уязвимостей в брандмауэрах Zyxel и потенциальную эволюцию их тактики с целью внедрения виртуализированных инфраструктур с помощью VMware. Несмотря на то, что между Helldown и другими вариантами программ-вымогателей, такими как Darkrace и Donex, существует сходство, в настоящее время не ясно, какая связь между ними существует. Постоянный мониторинг и анализ имеют решающее значение для понимания и устранения возникающих угроз, создаваемых Helldown и связанными с ними программами-вымогателями.

#ParsedReport #CompletenessHigh
20-11-2024

Spot the Difference: Earth Kasha's New LODEINFO Campaign And The Correlation Analysis With The APT10 Umbrella

https://www.trendmicro.com/en_us/research/24/k/lodeinfo-campaign-of-earth-kasha.html

Report completeness: High

Actors/Campaigns:
Mirrorface
Stone_panda
Liberalface
Twisted_panda
Ta428
A41apt
Volt_typhoon

Threats:
Lodeinfo
Spear-phishing_technique
Cobalt_strike
Noopdoor
Gosicloader
Dll_sideloading_technique
Lodeinfoldr
Noopldr
Junk_code_technique
Process_injection_technique
Mirrorstealer
Sigloader
Sodamaster
P8rat
Fyanti
Hui_loader
Lilimrat
Downiissa
Lolbin_technique
Windbg_tool
Process_hacker_tool
Procmon_tool

Victims:
Public institutions, Academics, High-profile organizations

Industry:
Transport, Energy, Aerospace, Government

Geo:
Japan, China, Thailand, India, Taiwan

CVEs:
CVE-2013-3900 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (-)
- microsoft windows 10 1607 (-)
- microsoft windows 10 1809 (-)
- microsoft windows 10 1909 (-)
- microsoft windows 10 20h2 (-)
have more...
CVE-2023-3519 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler application delivery controller (<12.1-55.297, <13.0-91.13, <13.1-37.159, <13.1-49.13, 11.1-65.22)
- citrix netscaler gateway (<13.0-91.13, <13.1-49.13)

CVE-2023-45727 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- northgrid proself (<1.09, <1.66, <5.63)

CVE-2023-27997 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (le1.1.6, le1.2.13, le2.0.12, le7.0.9, le7.2.3)
- fortinet fortios (le6.0.16, le6.2.13, le6.4.12, le7.0.11, le7.2.4)

CVE-2023-28461 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- arraynetworks arrayos ag (le9.4.0.481)

CVE-2023-3466 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler application delivery controller (<12.1-55.297, <13.0-91.13, <13.1-37.159, <13.1-49.13, 11.1-65.22)
- citrix netscaler gateway (<13.0-91.13, <13.1-49.13)

CVE-2023-3467 [Vulners]
CVSS V3.1: 8.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler application delivery controller (<12.1-55.297, <13.0-91.13, <13.1-37.159, <13.1-49.13, 11.1-65.22)
- citrix netscaler gateway (<13.0-91.13, <13.1-49.13)


ChatGPT TTPs:
do not use without manual check
T1068, T1105, T1210, T1027, T1055, T1112

IOCs:
File: 11
Registry: 2
Hash: 8
Domain: 1
IP: 1

Soft:
Windows Service, Windows Firewall, Chrome, Firefox, Outlook, SQL Server Management Studio, Active Directory

Algorithms:
xor, aes-256-cbc, aes-128-cbc, rc4, sha384, sha1, des, rsa-2048, aes, aes-192-cbc, 3des, sha256

Functions:
ESET

Win API:
NtWriteVirtualMemory, NtProtectVirtualMemory, NtCreateThreadEx

#ParsedReport #ExtractedSchema

Classified images:
windows: 12, schema: 17, chart: 1, dump: 3, code: 3, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - об эволюции и деятельности хакерской группы Earth Kasha, в частности, об их недавней кампании с 2023 по начало 2024 года, нацеленной на Японию, Тайвань и Индию. Группа расширила свои цели, включив в них крупные организации в сфере передовых технологий и государственного сектора, используя обновленные тактики, методы и процедуры (TTP), а также различные бэкдоры, такие как Cobalt Strike, LODEINFO и NOOPDOOR. Кроме того, в тексте обсуждаются потенциальные связи между Earth Kasha и другими хакерскими группами, такими как APT10 и Earth Tengshe, подчеркивается необходимость использования организациями информации об угрозах для упреждающей защиты от возникающих киберугроз и навигации по сложному ландшафту взаимоотношений хакеров.
-----

LODEINFO - это разновидность вредоносного ПО, используемая в кибератаках, нацеленных в основном на Японию, начиная с 2019 года группой, известной как Earth Kasha.

Связь между LODEINFO и APT10 предполагается, но не имеет убедительных доказательств; APT10 и Earth Kasha считаются отдельными объектами, хотя и потенциально связанными.

Недавно Earth Kasha расширила свои цели, включив в них Японию, Тайвань и Индию, сосредоточив внимание на передовых технологиях и правительственных учреждениях.

В недавней кампании Earth Kasha использовала такие бэкдоры, как Cobalt Strike, LODEINFO и новый бэкдор под названием NOOPDOOR, который обладает уникальными возможностями, такими как шифрование RSA и загрузка дополнительных модулей.

Анализ выявил сходство и потенциальное сотрудничество между Earth Kasha, Earth Tengshe и APT10 с точки зрения TTP и общих ресурсов.

Trend Micro предлагает аналитические отчеты и информацию об угрозах, которые помогают организациям активно защищаться от возникающих угроз, что позволяет предположить возможное совпадение между недавней кампанией LODEINFO и предыдущими мероприятиями Earth Kasha и APT10.

Расшифровка C2-протокола Spectre RAT

https://research.openanalysis.net/spectreops/config/strings/cpp/2024/11/21/spectre-ops.html