#ParsedReport #CompletenessMedium
20-02-2025

Demystifying PKT and Monero Cryptocurrency deployed on MSSQL servers

https://www.seqrite.com/blog/pkt-monero-mining-mssql-malware/

Report completeness: Medium

Threats:
Packet_crypt_tool
Quickheal
Lolbin_technique
Xmrig_miner
Themida_tool
Ghanarava

Industry:
Financial, E-commerce

ChatGPT TTPs:
do not use without manual check
T1190, T1218.007, T1059.001, T1027, T1036.005, T1496

IOCs:
File: 17
Url: 3
IP: 1
Hash: 6

Soft:
MSSQL

Crypto:
monero, bitcoin

Algorithms:
randomx, base64, exhibit

Functions:
isRunning, kill

Win Services:
WebClient

Languages:
rust, powershell

Links:
https://github.com/cjdelisle/packetcrypt\_rs

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, table: 1, dump: 1, code: 5, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
число хакеров, занимающихся несанкционированным майнингом криптовалют PKT Classic и Monero, увеличилось, при этом злоумышленники используют уязвимости SQL Server для удаленного выполнения кода. Злоумышленники внедряют вредоносные инструменты для майнинга, потребляющие большие ресурсы процессора, а также используют методы для маскировки и распределения полезной нагрузки. Организациям настоятельно рекомендуется усилить защиту с помощью обновлений программного обеспечения, политики строгого использования паролей и мониторинга ресурсов.
-----

Недавние наблюдения Seqrite Lab выявили тенденцию к росту числа хакеров, занимающихся добычей криптовалют, особенно в PKT Classic и Monero. PKT Classic использует алгоритм проверки работоспособности (PoW), известный как PacketCrypt, который позволяет майнерам использовать неиспользуемую пропускную способность Интернета, а не просто вычислительные мощности для майнинга, что отражает его цель - создать децентрализованный рынок пропускной способности. Злоумышленники используют уязвимости, особенно в системах SQL Server, для развертывания операций интеллектуального анализа данных без согласия пользователя.

В январе 2025 года был зафиксирован инцидент, когда операция в командной строке была выполнена через sqlserver.exe, что указывает на потенциальный компромисс, который позволил удаленно выполнить код. Расследование показало, что злоумышленники использовали легальную утилиту Windows “certutil” для загрузки инструмента майнинга PacketCrypt на взломанные устройства. Для майнинга валюты PKT требуются такие параметры конфигурации, как адрес кошелька и URL пула майнинга, которые могут быть легко использованы злоумышленниками.

Анализ инструмента майнинга показал, что он был разработан в RUST и стал общедоступным через репозиторий GitHub, связанный с Калебом, основателем блокчейна PKT cash. Злоумышленники создали исполняемый файл (.exe) и разместили его на указанном IP-адресе, замаскировав под изображение для удобства распространения. Процесс майнинга был признан ресурсоемким, и сообщалось, что процесс "pkt.exe" потребляет до 99% ресурсов центрального процессора, что серьезно снижает производительность системы и приводит к поломке оборудования.

Злоумышленники также нацелились на Monero, используя программное обеспечение для майнинга XMRIG. Они использовали уязвимости системы для выполнения сценариев PowerShell, которые загружали вредоносную полезную нагрузку, скрытую с помощью защиты Themida, чтобы избежать обнаружения. При запуске эти файлы пытались использовать для майнинга Monero, но часто терпели неудачу из-за отсутствия файлов конфигурации, что, вероятно, перенаправляло жертв на ресурсы, которые помогли бы им настроить программное обеспечение для майнинга.

Атака продемонстрировала многоступенчатый подход с использованием общедоступных инструментов и сценариев, подчеркнув уязвимость систем из-за слабых учетных данных и других уязвимых мест. Продолжающиеся операции по майнингу продемонстрировали значительное несанкционированное использование системных ресурсов злоумышленниками с целью получения прибыли.

Для борьбы с такими угрозами организациям рекомендуется принять ряд защитных мер. Регулярные обновления программного обеспечения имеют решающее значение для устранения уязвимостей, а внедрение многофакторной аутентификации, такой как CAPTCHA, может предотвратить попытки несанкционированного доступа. Необходимо применять строгие правила использования паролей, а также отдавать приоритет эффективным антивирусным решениям, оснащенным возможностями сканирования в режиме реального времени. Ограничение административных привилегий и активный мониторинг использования ресурсов могут помочь выявить признаки криптомайнинга, тем самым укрепляя защиту организации от возникающих угроз.

#ParsedReport #CompletenessLow
20-02-2025

SecTopRAT bundled in Chrome installer distributed via Google Ads

https://www.malwarebytes.com/blog/cybercrime/2025/02/sectoprat-bundled-in-chrome-installer-distributed-via-google-ads

Report completeness: Low

Threats:
Sectop_rat

ChatGPT TTPs:
do not use without manual check
T1204, T1562.001, T1055, T1071.001

IOCs:
File: 3
Url: 4
Path: 1
IP: 1
Domain: 2
Hash: 2

Soft:
Chrome, Google Chrome, Windows Defender, waterfox, Firefox, Grammarly

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, code: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники используют рекламу Google для распространения вредоносного ПО SecTopRAT с помощью мошеннического установщика Chrome, используя тактику обмана, чтобы избежать обнаружения. Вредоносное ПО взаимодействует с внешним сервером и может извлекать конфиденциальные данные, маскируясь под законное программное обеспечение.
-----

Киберпреступники используют рекламу Google для распространения вредоносного ПО, вводя пользователей в заблуждение и заставляя их загружать мошенническую версию браузера Google Chrome. В этой кампании используется страница-посредник, размещенная на сайтах Google, что очень напоминает более ранние попытки фишинга с использованием учетных данных учетной записи Google. Когда пользователи ищут "скачать Google Chrome", рекламное объявление перенаправляет их на этот вредоносный сайт, где в качестве законного установщика Chrome предлагается исполняемый файл.

При подключении к этому исполняемому файлу, помеченному как GoogleChrome.exe, устанавливается соединение с hxxps://launchapps.site/getCode.php, где вредоносная программа получает дальнейшие инструкции по эксплуатации. Установщик пытается запустить программу с правами администратора для выполнения действий, требующих повышенных прав. Важный шаг включает в себя команду PowerShell, предназначенную для создания исключения в каталоге %appdata%\Roaming, что эффективно предотвращает обнаружение вредоносного ПО защитником Windows в процессе его извлечения.

После запуска вредоносная программа помещает файл с именем decrypted.exe в каталог %\AppData%\Roaming\BackupWin\, который распаковывает настоящую полезную нагрузку, waterfox.exe. Этот исполняемый файл маскируется под законный браузер Waterfox, тем самым добавляя еще один уровень обмана. Затем вредоносная программа внедряет свой вредоносный код в легитимный процесс MSBuild.exe, устанавливая связь с сервером управления атакующими, расположенным по IP-адресу 45.141.84.208. Извлеченная вредоносная программа идентифицирована как SecTopRAT, троянец удаленного доступа, обладающий возможностями для утечки конфиденциальной информации.

В качестве дополнительной тактики обмана поддельный установщик завершает загрузку и установку подлинного браузера Google Chrome, гарантируя, что жертвы не будут знать о лежащем в его основе компрометирующем средстве. Этот инцидент выявил критическую уязвимость в цепочке поставок программного обеспечения, когда скомпрометированная реклама Google служит источником распространения вредоносного ПО, используя доверие пользователей к поисковой системе. Принятые меры безопасности, такие как Malwarebytes Browser Guard и Premium Security Antivirus, были эффективны в блокировании вредоносной рекламы и обнаружении вредоносной полезной нагрузки, однако кампания подчеркивает постоянные угрозы, исходящие от злоумышленников, способных манипулировать надежными платформами в неблаговидных целях.

#ParsedReport #CompletenessMedium
21-02-2025

Fake DeepSeek Site Infects Mac Users with Poseidon Stealer

https://www.esentire.com/blog/fake-deepseek-site-infects-mac-users-with-poseidon-stealer

Report completeness: Medium

Actors/Campaigns:
Rodrigo4

Threats:
Poseidon
Meteor_wiper
Clickfix_technique

Victims:
Mac users

Industry:
Entertainment, Financial

ChatGPT TTPs:
do not use without manual check
T1059.002, T1059.004, T1189, T1497.001, T1005, T1041

IOCs:
Coin: 19
Domain: 2
Url: 1

Soft:
DeepSeek, Bitwarden, Telegram, Mac OS, GateKeeper, macOS, Firefox, Ledger Live, curl, Chromium, have more...

Wallets:
aptos_wallet, finnie, bitfinity_wallet, zilpay, kardiachain, cyano, hycon, xverse_wallet, abc_wallet, solflare_wallet, have more...

Crypto:
bitcoin, ethereum, tezos, casper, solana, monero, dogecoin

Algorithms:
zip, exhibit, base64

Functions:
ptrace, sysctl, getpid, system

Languages:
applescript

Platforms:
apple

Links:
https://github.com/eSentire/iocs/blob/main/PoseidonStealer/PoseidonStealer-2-12-2025.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Poseidon Stealer - это новая вредоносная программа, нацеленная на macOS и использующая для заражения AppleScript через osascript. Она собирает конфиденциальные данные браузера и продается в Telegram, используя тактику защиты от отладки и фишинговые методы для сбора учетных данных, избегая обнаружения.
-----

В начале февраля 2025 года была обнаружена новая вредоносная программа, известная как Poseidon Stealer, использующая команду osascript для выполнения AppleScript в рамках процесса заражения. Эта вредоносная программа продается в Telegram как вредоносная программа как услуга, доступная за абонентскую плату в размере 3000 долларов в месяц. Poseidon Stealer в первую очередь нацелен на конфиденциальную информацию, хранящуюся в веб-браузерах Chromium и Firefox, с целью извлечения таких данных, как данные кредитной карты, пароли, закладки и информация о криптовалютном кошельке.

Цепочка заражения начинается с того, что пользователь перенаправляется на поддельный веб-сайт, который очень похож на законный сайт. Это приводит к загрузке файла DMG, содержащего вредоносный сценарий оболочки. Когда скрипт запускается в терминале, он запускает загрузку и выполнение двоичного файла Poseidon Stealer. Чтобы обойти исследователей и меры безопасности, вредоносная программа оснащена функциями защиты от отладки, используя системный вызов ptrace() для определения того, выполняется ли ее отладка. Если он идентифицирует известные имена пользователей исследователя безопасности, он завершает работу, чтобы предотвратить дальнейший анализ.

Poseidon Stealer выполняет обширный сбор данных, включая учетные данные пользователя, файлы cookie, конфиденциальные файлы и системную информацию. Затем украденные данные упаковываются в zip-архив и отправляются на сервер управления (C2). Примечательно, что вредоносная программа включает в себя механизм фишинга, при котором пользователю предлагается ввести свои учетные данные для входа в систему. Если введена неверная информация, вредоносная программа будет повторно запрашивать пароль, что увеличивает шансы на успешный сбор учетных данных.

Атака, продемонстрированная Poseidon Stealer, подчеркивает постоянную угрозу, исходящую от пользователей macOS, в частности, с помощью обманчивых методов, которые используют доверие пользователей к законным веб-сервисам. Внедрение такого вредоносного ПО подчеркивает важность бдительности и упреждающих мер безопасности для защиты от изощренных фишинговых атак и попыток утечки данных.

#ParsedReport #CompletenessHigh
20-02-2025

Weak Passwords Led to (SafePay) RansomwareYet Again

https://www.nccgroup.com/us/research-blog/weak-passwords-led-to-safepay-ransomware-yet-again/

Report completeness: High

Threats:
Safepay
Screenconnect_tool
Qdoor
Upx_tool
Runpe_tool
Process_hollowing_technique
Blacksuit_ransomware
Credential_dumping_technique
Shadow_copies_delete_technique

Geo:
Belarusian, Azerbaijani, Georgian, Russian, Ukrainian

TTPs:
Tactics: 8
Technics: 14

IOCs:
Path: 3
IP: 1
File: 2
Command: 1
Hash: 3
Email: 2
Url: 1

Soft:
Windows Service, Microsoft Defender, bcdedit

Wallets:
safepay

Algorithms:
ecdh, sha1, chacha20, sha256, curve25519

Win API:
DllRegisterServer, DllUnregisterServer, CryptGenRandom

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель SafePay использовала неправильно настроенный брандмауэр Fortigate для обхода MFA, используя слабые пароли для доступа администратора домена. Злоумышленники внедрили бэкдор (QDoor) и использовали пакетные файлы для распространения программы-вымогателя, которая шифровала файлы с помощью ChaCha20, оставляя заметки и воздействуя на гипервизоры. Дизайн программы-вымогателя предполагает географический таргетинг и потенциальное уклонение от обнаружения, что указывает на сложную операцию.
-----

Недавний инцидент с программой-вымогателем SafePay, расследованный командой цифровой криминалистики и реагирования на инциденты (DFIR) NCC Group, выявил критические уязвимости, используемые хакерами. Злоумышленники получили доступ через неправильно настроенный брандмауэр Fortigate, который позволял локальным учетным записям обходить требования многофакторной аутентификации (MFA). Эта неправильная настройка в сочетании с использованием ненадежных паролей позволила хакерам пройти аутентификацию от имени администратора домена и скомпрометировать среду. Злоумышленники использовали устройство, связанное с инфраструктурой виртуального частного сервера Vultr, что свидетельствует о сложном планировании и исполнении.

Получив доступ, хакеры приступили к различным действиям, включая внедрение механизмов сохранения данных. Они создали службу, связанную с ScreenConnect, приложением удаленного доступа, которое, вероятно, служило для поддержания доступа к скомпрометированным системам. Кроме того, был обнаружен вредоносный файл с именем soc.dll, который функционирует как бэкдор QDoor. Этот файл был упакован с использованием Upx-программы с открытым исходным кодом, чтобы скрыть его содержимое. Работа бэкдора была инициирована с помощью средства командной строки Windows regsvr32, позволяющего хакеру выполнять код под прикрытием законных системных процессов с помощью метода "опустошения процесса".

После получения постоянного доступа злоумышленники использовали пакетные файлы для взаимодействия с серверами и общими файловыми ресурсами, а затем выполняли процесс шифрования с использованием двоичного кода программы-вымогателя, идентифицированного как 1.exe. Вредоносные пакетные файлы были разработаны для рассылки этой программы-вымогателя на многочисленные серверы без разбора. Шифровальщик использовал ChaCha20, симметричный алгоритм шифрования, для уникального шифрования файлов для каждого отдельного файла. Зашифрованные файлы были переименованы с расширением .safepay, а в конструкцию программы-вымогателя была встроена проверка для определения языка системы, что эффективно предотвращало запуск в русскоязычных странах, что могло свидетельствовать о географических предпочтениях хакеров.

Программа-вымогатель использовала несколько команд, которые отключали механизмы восстановления и функциональные возможности, которые могли повлиять на ее выполнение. Файлы шифровались блоками, определяемыми конкретными аргументами командной строки, при этом анализ образца позволил предположить, что использовался механизм частичного шифрования. Этот процесс включал в себя генерацию пар открытых и закрытых ключей, используемых для защиты зашифрованных файлов, а также хэшей проверки для обеспечения целостности при расшифровке.

Сообщения о требовании выкупа, оставленные на зараженных системах, подтвердили, что атака была совершена группой программ-вымогателей SafePay. Примечательно, что программа-вымогатель также шифровала гипервизоры, что делало виртуальные машины неэффективными и распространяло воздействие атаки не только на отдельные файлы. Хотя сравнение с известными разновидностями программ-вымогателей, такими как Blacksuit, выявило незначительное сходство кода, расследование не смогло однозначно отнести программу-вымогателя к какой-либо известной хакерской группе, оставляя открытой возможность того, что она представляет собой новый вариант или полностью переписана, чтобы избежать обнаружения.

#ParsedReport #CompletenessMedium
20-02-2025

Bloody Wolf evolution: newtargets,newtools

https://bi.zone/eng/expertise/blog/evolyutsiya-bloody-wolf-novye-tseli-novye-sredstva-ataki/

Report completeness: Medium

Actors/Campaigns:
Bloody_wolf

Threats:
Strrat
Netsupportmanager_rat
Spear-phishing_technique
Dead_drop_technique

Geo:
Kazakhstan, Russian, Russia

TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 4
Url: 2
Path: 4
Hash: 4
Domain: 7

Soft:
Telegram

Functions:
getFileUrlsFromPastebin

Languages:
java

#ParsedReport #ExtractedSchema

Classified images:
code: 4, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Bloody Wolf перешла от использования вредоносного ПО STRRAT к использованию законного удаленного инструмента NetSupport, нацелившись на более чем 400 систем в Казахстане и России с помощью фишинговой тактики. Они распространяют вредоносные документы, заставляя жертв загружать JAR-файлы, в которых содержатся компоненты NetSupport, предоставляя злоумышленникам широкий контроль над скомпрометированными системами.
-----

Хакерская группа, известная как Bloody Wolf, изменила свою тактику, заменив ранее использовавшуюся вредоносную программу STRRAT на законный инструмент удаленного администрирования NetSupport. Это изменение, по-видимому, является стратегическим шагом, позволяющим избежать обнаружения с помощью обычных мер безопасности. Недавние действия группы были нацелены не только на организации в Казахстане, где они взломали более 400 систем, но и на организации в России. Злоумышленники используют методы фишинга для распространения вредоносного контента, в частности, используя документы, замаскированные под уведомления о соблюдении требований законодательства или постановления суда, которые содержат вредоносные ссылки.

В ходе своих последних кампаний Bloody Wolf рассылала PDF-документы, содержащие фишинговые ссылки, в результате чего жертвы непреднамеренно загружали вредоносные JAR-файлы с конкретными названиями NCALayerUpdatedRU.jar для Казахстана и ReshenieJCP.jar для России. После загрузки эти файлы JAR будут проверять наличие определенных каталогов в папке AppData пользователя, создавая их, если они ранее не существовали. Затем они будут использовать ссылку из Pastebin для получения URL-адресов для загрузки компонентов программного обеспечения NetSupport в эти папки. Основные компоненты, update.bat и run.bat, были запущены впоследствии; update.bat запускал клиент NetSupport, в то время как run.bat обеспечивал сохранение в зараженной системе.

В этой кампании использовалась версия NetSupport 11.42. Это легальное программное обеспечение предназначено для удаленного управления, поддержки и образовательных целей. Однако, при использовании злоумышленниками, оно предоставляет им полный доступ к скомпрометированным системам, что позволяет манипулировать данными и красть их. Более того, операции координируются с тем, что злоумышленники отправляют названия скомпрометированных систем в специальный Telegram-канал, что указывает на структурированный подход к управлению обнаруженными системами.

Ретроспективный анализ выявил присутствие Bloody Wolf в Казахстане и России, продемонстрировав их методичное использование фишинговых атак и законных инструментов для компрометации своих целей. Это мероприятие демонстрирует значительную эволюцию тактики, направленной на использование растущей зависимости от инструментов удаленного администрирования в связи с увеличением удаленной работы, что создает новые уязвимости.

Для выявления и смягчения угроз, исходящих от Bloody Wolf и аналогичных субъектов, организациям рекомендуется внедрять надежные методы обнаружения конечных точек и реагирования на них. Необходимость раннего распознавания таких атак имеет первостепенное значение для защиты от потенциальных нарушений, которые могут нарушить целостность операционной системы. Понимание ландшафта основных угроз имеет решающее значение для подготовки эффективной защиты от этих развивающихся угроз.

#ParsedReport #CompletenessHigh
21-02-2025

Stately Taurus Activity in Southeast Asia Links to Bookworm Malware

https://unit42.paloaltonetworks.com/stately-taurus-uses-bookworm-malware/

Report completeness: High

Actors/Campaigns:
Red_delta
Lazarus

Threats:
Bookworm
Dll_sideloading_technique
Toneshell
Proxyshell_vuln
Proxylogon_exploit
Pubload

Victims:
Government organizations

Industry:
Government

Geo:
Australia, Asia, Asian, Myanmar, India, Middle east, Japan

ChatGPT TTPs:
do not use without manual check
T1073, T1055, T1071.001, T1190, T1505.003, T1003

IOCs:
File: 4
Hash: 39
IP: 5
Url: 1
Path: 3
Domain: 9

Algorithms:
base64

Functions:
DllEntryPoint, ProgramStartup

Win API:
UuidFromStringA, HeapCreate, HeapAlloc, EnumChildWindows, EnumSystemLanguageGroupsA, EnumSystemLocalesA

Links:
https://gist.github.com/rxwx/c5e0e5bba8c272eb6daa587115ae0014

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа компаний Stately Taurus нацелена на организации Юго-Восточной Азии, использующие семейство вредоносных программ PubLoad, которые используют стороннюю загрузку библиотек DLL и маскируют обмен данными C2 под обновления Windows. Анализ выявил связи с вредоносной платформой Bookworm, что указывает на общие методы и постоянные усовершенствования, которые использует этот настойчивый хакер.
-----

Недавний анализ выявил многогранного хакера, связанного с группой Stately Taurus, которая активно атакует организации в Юго-Восточной Азии. Этот хакер использует уникальное семейство вредоносных программ, известное как PubLoad, которое представляет собой тип промежуточного вредоносного ПО, устанавливающего связь с сервером управления (C2) для получения дополнительной полезной нагрузки. Наблюдения показывают, что Stately Taurus использует методы дополнительной загрузки библиотек DLL для запуска вредоносного ПО, в частности, полезной нагрузки, идентифицированной как BrMod104.dll относящейся к семейству PubLoad. Связь с сервером C2 осуществляется через прямое подключение к определенному IP-адресу, где он пытается замаскировать свои HTTP-запросы под законные обновления операционной системы Windows, что еще больше усложняет усилия по обнаружению и смягчению последствий.

Анализ вредоносного ПО Publicload выявил его способность скрывать свои соединения, имитируя законные URL-адреса. Например, оно изменило структуру URL-адресов, связанных с обновлениями Windows, чтобы избежать проверки. Обнаружение этой хитроумной тактики подчеркивает высокую адаптивность вредоносного ПО. Помимо PubLoad, исследование выявило совпадения с платформой вредоносных программ Bookworm, что позволяет предположить связь между двумя семействами и указывает на одного и того же хакера. Оба семейства вредоносных программ демонстрируют сходство в исполнении и коммуникациях C2, что указывает на то, что Stately Taurus со временем совершенствовал свои арсеналы.

Кроме того, это расследование установило историческую преемственность деятельности Stately Taurus, связав воедино ранее не отмеченные атаки на правительственные организации в регионе. Были обнаружены устаревшие версии вредоносного ПО Bookworm с минимальными изменениями по сравнению с предыдущими образцами, что свидетельствует о настойчивости и изобретательности хакера. Гибкость вредоносной программы Bookworm подчеркивается ее модульной конструкцией, позволяющей адаптировать и переупаковывать ее компоненты в соответствии с различными эксплуатационными требованиями, что может свидетельствовать о текущих усовершенствованиях и будущих развертываниях.

В оперативном контексте меры кибербезопасности имеют решающее значение. Передовые технологии предотвращения угроз, такие как Cortex XDR и его функции защиты от поведенческих угроз, предназначены для предотвращения запуска вредоносных программ, включая как известные, так и неизвестные варианты. В систему были интегрированы специальные средства защиты от средств сбора учетных данных и эксплойтов web shell, которые используются хакерами, такими как Stately Taurus. Также следует отметить возможность обнаружения действий после использования, таких как атаки на основе учетных данных, с помощью поведенческой аналитики.

Меняющийся ландшафт хакеров, особенно тот, который представляет собой Stately Taurus, подчеркивает необходимость постоянной бдительности и адаптации стратегий обеспечения безопасности. Поскольку они используют известные уязвимости и изощренные методы, настойчивость таких игроков, как Stately Taurus, в использовании таких инструментов, как PubLoad и Bookworm, делает необходимым развитие систем безопасности и динамичное реагирование на возникающие угрозы. Имеющиеся данные указывают на новые разработки в этом семействе вредоносных программ, подчеркивая, что их использование вполне может продолжиться в будущих кампаниях.