#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Lumma Stealer, которая с 2022 года является частью Malware-a-a-Service, распространяется с помощью фишинга, троянского программного обеспечения и наборов эксплойтов, используя социальную инженерию. Он использует дополнительную загрузку библиотек DLL и сложные многоступенчатые методы заражения для извлечения конфиденциальных данных, маскируя их трафик, чтобы избежать обнаружения.
-----

Распространение вредоносного ПО как услуги (MaaS) способствовало распространению программ, похищающих информацию, в частности Lumma Stealer, которое получило значительную популярность с момента своего запуска в 2022 году группой, известной как Lumma. Изначально разработанный под брендом LummaC2, этот изощренный взломщик уже утвердился на рынках даркнета и Telegram, цены на него начинаются примерно с 250 долларов, а растущая база пользователей превысила тысячу подписчиков по состоянию на март 2025 года. Методы доставки Lumma часто требуют взаимодействия с человеком, когда пользователей вводят в заблуждение и заставляют выполнять вредоносные команды с помощью таких тактик, как поддельные страницы с капчей и троянское программное обеспечение.

Основными причинами заражения Lumma являются тактика фишинга, распространение с помощью вредоносных вложений или ссылок, а также компрометация законных приложений. Кроме того, для обхода мер безопасности используются наборы эксплойтов и социальная инженерия. Особенно эффективный метод распространения включает создание клонированных веб-сайтов для пиратского контента, которые при доступе перенаправляют пользователей на вредоносную капчу, предназначенную для извлечения команды PowerShell в буфер обмена. После выполнения этой команды, обычно загружаемой с удаленного сервера, вредоносное ПО устанавливается и запускается автоматически.

Цепочка заражения Lumma Stealer чрезвычайно сложна и включает в себя различные методы обфускации и стратегии доставки полезной информации. Одним из распространенных методов является дополнительная загрузка DLL, при которой вредоносная библиотека DLL запускается вместе с легитимными приложениями, используя их доверительный контекст. Другой метод заключается во внедрении вредоносного кода в раздел наложения законных программных приложений, сохраняя видимость нормальной функциональности при выполнении вредоносных операций в фоновом режиме.

Детальное изучение образца Lumma показало, что в нем используется многоступенчатый подход к заражению. Исходная полезная нагрузка маскируется под законный исполняемый файл, извлекая и запуская архив, содержащий программу установки Nullsoft Scriptable Install System (NSIS). Этот установщик закладывает основу для последующих компонентов вредоносного ПО, включая сценарии автоматической загрузки, ответственные за организацию процесса заражения. Эти сценарии разработаны таким образом, чтобы избежать обнаружения путем сканирования программного обеспечения безопасности на компьютере жертвы, при необходимости откладывая выполнение, чтобы избежать использования изолированных сред.

Как только Lumma Stealer запускается, он устанавливает связь с серверами управления для извлечения украденной информации, которая может включать в себя ряд конфиденциальных данных, таких как учетные данные криптовалюты, токены двухфакторной аутентификации и сохраненные пароли от различных приложений. Сообщения вредоносного ПО часто маскируются под законный трафик, чтобы обойти системы сетевого мониторинга.

#ParsedReport #CompletenessLow
21-04-2025

MS-SQL server target attack case installing Ammyy Admin

https://asec.ahnlab.com/ko/87590/

Report completeness: Low

Threats:
Ammyyadmin_tool
Anydesk_tool
Todesk_tool
Teamviewer_tool
Gotohttp_tool
Netstat_tool
Petitpotato_tool
Ammyyrat
Porttranc_tool

Victims:
Ms-sql servers

ChatGPT TTPs:
do not use without manual check
T1078, T1059.001, T1110, T1105

IOCs:
File: 2
Path: 2
Url: 9
Hash: 4

Soft:
MS-SQL

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние атаки на серверы MS-SQL используют слабые средства аутентификации и удаленного управления, такие как AnyDesk и Ammyy Admin, в качестве бэкдоров. Злоумышленники устанавливают вредоносный код для получения контроля, часто используя такие инструменты, как GOTOHTTP и PetitPotato, для использования неправильно настроенных учетных записей. Внедрение политики надежного использования паролей и обновление программного обеспечения имеют решающее значение для защиты.
-----

Недавние случаи атак на серверы MS-SQL продемонстрировали, как инструменты удаленного управления, такие как Anydesk и Ammyy Admin, могут быть использованы аналогично бэкдорам и троянам удаленного доступа (RAT). Уязвимость в основном связана с ненадлежащим образом защищенными серверами MS-SQL, которые могут быть просканированы и скомпрометированы злоумышленниками. Как только злоумышленник обнаруживает уязвимый сервер, он часто устанавливает вредоносный код, использующий слабые учетные данные для аутентификации.

В задокументированных атаках злоумышленники использовали протокол GOTOHTTP в качестве точки входа, подчеркивая риск, который представляют системы, подключенные к Интернету и использующие скомпрометированные учетные данные. Злоумышленник часто использует команды для сбора информации о зараженной системе после взлома. Например, Ammyy Admin, в частности, такой версии, как V3.10, служит инструментом удаленного рабочего стола, который позволяет злоумышленникам получить контроль над зараженными системами, используя конфигурационный файл "Settings3.bin". Этот файл содержит важную информацию, такую как "Идентификатор клиента", который позволяет получить удаленный доступ после извлечения из памяти системы.

Кроме того, злоумышленники использовали PetitPotato в качестве средства для активации службы протокола удаленного рабочего стола (RDP) путем добавления новых учетных записей пользователей. Тактика, используемая в этих атаках, часто включает в себя "брутфорсинг" и атаки по словарю против плохо настроенных учетных записей. Для снижения рисков администраторам крайне важно внедрять сложные политики паролей и периодически менять пароли, тем самым защищая сервер базы данных от попыток несанкционированного доступа.

Кроме того, для предотвращения заражения вредоносными программами необходимо постоянно обновлять программное обеспечение удаленного управления до последних версий. Сетевые средства защиты, такие как брандмауэры, должны быть настроены таким образом, чтобы контролировать доступ к серверам баз данных, особенно к тем, которые доступны извне. Несоблюдение этих превентивных мер может привести к продолжительным атакам и потенциальному распространению вредоносного ПО в уязвимой инфраструктуре.

#ParsedReport #CompletenessLow
21-04-2025

FOG Ransomware Spread by Cybercriminals Claiming Ties to DOGE

https://www.trendmicro.com/en_us/research/25/d/fog-ransomware-concealed-within-binary-loaders-linking-themselve.html

Report completeness: Low

Threats:
Fog_ransomware
ransomware.additionally
Ransom.win32.fog.smypefg

Industry:
Education, Retail, Healthcare, Government, Transport

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1027, T1497, T1486

IOCs:
File: 7
Url: 5
Coin: 1
Hash: 6

Crypto:
monero

Algorithms:
base64, xor, zip

Functions:
Get-GatewayMACs

Languages:
powershell

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель FOG распространяется с помощью фишинговых электронных писем, выдающих себя за правительственные ссылки. Она использует многоэтапную цепочку заражения, инициируемую файлом LNK, который запускает сценарии PowerShell для загрузки дополнительных вредоносных исполняемых файлов. Вредоносная программа проводит проверку в изолированной среде перед развертыванием, регистрирует события шифрования и нацелена на несколько секторов, жертвами которых, по сообщениям, стали более 100 человек.
-----

Исследование нескольких образцов вредоносного ПО показало, что в настоящее время программа-вымогатель FOG распространяется с помощью методов социальной инженерии, которые используют ссылки правительства. В частности, анализ был сосредоточен на девяти образцах, обнаруженных на сайте VirusTotal, которые включают файл LNK, встроенный в ZIP-архив с именем "Pay Adjustment.zip". Эти образцы рассылаются по фишинговым электронным письмам, предназначенным для пользователей, которые ссылаются на связи с Департаментом эффективности государственного управления (DOGE), входящим в состав нынешней администрации США.

Было отмечено, что программа-вымогатель FOG, отличающаяся скрытными методами распространения, содержит многоэтапную цепочку заражения. При запуске файл LNK запускает сценарий PowerShell под названием "stage1.ps1", который отвечает за дальнейшие действия. Скрипт загружает различные исполняемые файлы, такие как загрузчик программ-вымогателей (cwiper.exe) и ktool.exe, а также другие вспомогательные скрипты PowerShell. Примечательно, что "stage1.ps1" также имеет особенность открывать видеоролики на политическую тематику на YouTube и встраивать в свой код политические комментарии.

Прежде чем запустить программу-вымогатель, вредоносное программное обеспечение проводит проверку, чтобы определить, работает ли оно в изолированной среде, оценивая такие параметры, как количество процессоров, объем оперативной памяти и MAC-адреса. Если эти проверки указывают на отсутствие изолированной среды, вредоносная программа регистрирует этот факт и продолжает свою работу. В случае сбоя этих проверок вредоносная программа завершает работу преждевременно. Загрузчик также создает файл журнала (dbgLog.sys) для документирования событий шифрования в соответствии с поведением, наблюдавшимся в более ранних версиях программы-вымогателя FOG.

Исследованные образцы содержали записку с требованием выкупа, которая совпадает с предыдущими сообщениями, связанными с программой-вымогателем FOG, что подтверждает ее идентичность. Сообщается, что это конкретное семейство программ-вымогателей было нацелено на различные сектора, включая технологии, образование, производство и транспорт. По последним данным, жертвами программы-вымогателя FOG стали по меньшей мере 100 человек, причем пики активности отмечались в определенные месяцы. Окончательная полезная нагрузка вредоносной программы была подтверждена как Ransom.Win32.FOG.SMYPEFG, причем различные образцы отличались только используемыми ключами расшифровки.

Эта продолжающаяся тенденция подчеркивает адаптивные стратегии, используемые хакерами для облегчения своих кампаний по распространению программ-вымогателей, в которых могут участвовать не только первоначальные операторы FOG, но и потенциально другие противники, внедряющие программы-вымогатели в свои собственные сети. Такие изменения в методах распространения вредоносных программ делают значительный акцент на осведомленности пользователей и необходимости принятия надежных мер защиты от фишинга и программ-вымогателей.

#ParsedReport #CompletenessMedium
22-04-2025

The Bad Seeds: Malicious npm and PyPI Packages Pose as Developer Tools to Steal Wallet Credentials

https://socket.dev/blog/malicious-npm-and-pypi-packages-steal-wallet-credentials

Report completeness: Medium

Threats:
Typosquatting_technique
Credential_harvesting_technique
Credential_stealing_technique
Supply_chain_technique
Spear-phishing_technique

Victims:
React-native-scrollpageviewtest, Web3x, Herewalletbot

Industry:
Financial

TTPs:

IOCs:
File: 12
Email: 1
Url: 1

Soft:
Telegram, Outlook, elegram bo, Chrome

Wallets:
mainnet

Crypto:
ethereum

Algorithms:
base64

Functions:
getSaf, main

Languages:
python, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносные пакеты npm и PyPI, такие как "react-native-scrollpageviewtest", "web3x" и "herewalletbot", нацелены на криптовалютные кошельки путем скрытой кражи мнемонических начальных фраз и закрытых ключей. Они собирают данные через Google Analytics и используют различные тактики уклонения, включая компрометацию цепочки поставок и фишинг. Пользователям рекомендуется с осторожностью предоставлять конфиденциальные учетные данные.
-----

Недавние исследования, проведенные исследователями Socket, выявили серию вредоносных пакетов, доступных на npm и PyPI, которые нацелены на криптовалютные кошельки путем кражи конфиденциальных учетных данных, таких как мнемонические начальные фразы и приватные ключи. Эти пакеты тайно извлекают данные, используя Google Analytics в качестве обманчивого канала передачи данных; в частности, они отправляют запросы HTTPS POST на конечную точку сбора данных Google Analytics. Этот метод позволяет хакерам просматривать украденные данные, отформатированные в виде показателей просмотра страниц, на своих собственных панелях мониторинга Google Analytics, эффективно маскируя действия по удалению данных под законную телеметрию.

Были определены три ключевых пакета: `react-native-scrollpageviewtest`, `web3x` и `herewalletbot`. `react-native-scrollpageviewtest`, представляющий собой утилиту для прокрутки страниц, был загружен 1215 раз. Он динамически загружает движок кошелька React Native для извлечения и кодирования учетных данных пользователя в Base64 перед отправкой их злоумышленнику. Хакер, стоящий за этим пакетом, связан с псевдонимом npm "twoplus" и использует различные методы уклонения, чтобы избежать обнаружения.

Аналогичным образом, пакет "web3x", рекламируемый как утилита для кошелька Ethereum и скачанный более 3400 раз, работает как инструмент сбора учетных данных, предназначенный для сбора исходных фраз и остатков на кошельке. Этот пакет немедленно отправляет мнемоническую начальную фразу жертвы жестко запрограммированному Telegram-боту перед выполнением любых других функций, позволяя злоумышленнику быстро получить контроль над активами жертвы. Хакер, связанный с пакетом web3x, использует псевдоним "tonymevbots" и разработал вредоносную программу для запуска на любой платформе с установленным Python, что подчеркивает ее широкий потенциал для развертывания.

Наконец, "herewalletbot" маскируется под инструмент автоматизации кошелька, проводя жертв через схему социальной инженерии, направленную на получение их исходных фраз. Вредоносная программа автоматизирует взаимодействие пользователей в Telegram Web, предлагая жертвам ввести свою мнемоническую исходную фразу способом, который кажется законным. Хакер, стоящий за этим пакетом и работающий под псевдонимом "vannszs", заблокировал логи и звуковые уведомления, чтобы предотвратить обнаружение. Скрипт постоянно отслеживает действия пользователей, расширяя свои возможности по постоянной утечке конфиденциальной информации.

Проанализированные пакеты используют различные тактики для сокрытия своих истинных намерений, используя методы, связанные с кражей учетных данных. Они компрометируют цепочку поставок, выполняют команды с помощью интерпретаторов сценариев (Python и JavaScript) и используют тактику фишинга, особенно ориентированную на пользователей криптовалют. В свете этих выводов, как разработчикам, так и пользователям рекомендуется не делиться своими исходными фразами или секретными ключами, поскольку любой код или платформа, запрашивающие такую информацию, скорее всего, являются вредоносными.

#ParsedReport #CompletenessLow
22-04-2025

PE32 Ransomware: A New Telegram-Based Threat on the Rise

https://any.run/cybersecurity-blog/pe32-ransomware-analysis/

Report completeness: Low

Threats:
Pe32_ransomware
Chaos_ransomware

Geo:
Russian, Portuguese, Romanian

TTPs:
Tactics: 1
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1486, T1102, T1497.001

IOCs:
File: 9
Hash: 5

Soft:
Telegram, Twitter, Gmail, Firefox, Chrome

Algorithms:
sha256

Links:
http://github.com/0x6rss/matkap

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель PE32 агрессивно шифрует файлы, используя базовые методы, в первую очередь нацеливаясь на обычные места, такие как рабочий стол. Для связи она использует API Telegram-бота, раскрывающий операционные данные, которые ставят под угрозу ее безопасность. Неустойчивое шифрование повышает риск обнаружения при сборе системной информации, чтобы избежать юридических последствий.
-----

Программа-вымогатель PE32 стала заметным игроком на современном рынке вредоносного программного обеспечения, отличаясь упрощенными, но эффективными методами шифрования и передачи данных. Она привлекает пользователей, как правило, с помощью обычных средств, таких как вложения в электронную почту или пиратское программное обеспечение, и использует явно не отточенное исполнение. После активации PE32 шифрует файлы агрессивным образом, ориентируясь на хорошо известные места, такие как рабочий стол, и используя методы, которые не позволяют выбирать файлы по своему усмотрению. Это включает шифрование даже некритичных файлов, таких как языковые пакеты и статические ресурсы, что приводит к значительным сбоям в работе.

Коммуникация вредоносного ПО осуществляется исключительно с помощью Telegram Bot API, где оно использует свой токен бота в своем коде, что фактически ставит под угрозу его собственную операционную безопасность. Такой упрощенный выбор канала управления (C2) не только отражает неопытность в эксплуатации, но и облегчает отслеживание и потенциальное злоупотребление со стороны внешних участников, которые могут забросать бота поддельными запросами или выдать себя за его функциональность. Процесс шифрования запускается после запроса, и в этот момент PE32 также использует уникальную двухуровневую модель выкупа: взимается плата за разблокировку зашифрованных файлов и дополнительная плата за предотвращение утечки данных.

Несмотря на свой хаотичный характер, PE32 включает в себя такие механизмы, как скрытие окна процесса во время выполнения и трансляция своего рабочего состояния жестко запрограммированной группе Telegram. Он собирает системную информацию, такую как идентификатор компьютера GUID и имя хоста, что позволяет избежать заражения в определенных регионах — обычная практика для минимизации юридических последствий для хакеров. Однако его безрассудный подход к шифрованию приводит к запуску различных систем обнаружения, в том числе к появлению законных файлов телеметрии, связанных с утилитой Windows chkdsk, что еще больше усложняет ее обнаружение и анализ.

С технической точки зрения, PE32 работает с использованием стандартных библиотек DLL, таких как "ntdll.dll`, `kernel32.dll`, `crypt32.dll` и `bcrypt.dll" для своих операций, что указывает на недостаток сложности. Его непредсказуемое поведение демонстрирует, насколько плохо разработанное вредоносное ПО все еще может оказывать пагубное воздействие, подчеркивая постоянную угрозу, которую оно представляет. Использование общедоступной платформы для обмена данными, отмеченной видимыми данными о конфигурации, создает проблемы для служб безопасности и может привести к более легкому тиражированию другими хакерами, стремящимися извлечь выгоду из тенденций в области программ-вымогателей, которые не требуют больших усилий и оказывают большое влияние.

#ParsedReport #CompletenessLow
22-04-2025

Russian organizations targeted by backdoor masquerading as secure networking software updates

https://securelist.com/new-backdoor-mimics-security-software-update/116246/

Report completeness: Low

Victims:
Large organizations

Industry:
Government, Financial

Geo:
Russia, Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1203, T1036, T1566

IOCs:
File: 4
Hash: 3

Soft:
vipnet

Languages:
swift

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Был обнаружен сложный бэкдор, нацеленный на высокопоставленные российские организации, который использовал доверие к обновлениям ViPNet через архивы LZH. Он использовал файл action.inf для перехвата процесса обновления и запуска вредоносного ПО, воспользовавшись уязвимостью в законном исполняемом файле. В ответ на эти целенаправленные атаки APT были выпущены обновления для системы безопасности.
-----

В апреле 2025 года был обнаружен сложный бэкдор, нацеленный на высокопоставленные организации в государственном, финансовом и промышленном секторах России. Первоначальные исследования показали, что этот бэкдор особенно эффективен против систем, подключенных к сетям ViPNet, пакету, предназначенному для создания безопасных сетей. Вредоносная программа распространялась с помощью архивных файлов LZH, которые имитировали структуру законных обновлений программного обеспечения ViPNet и содержали несколько компонентов, направленных на использование доверия к процессу обновления.

Ключевые компоненты распределенных архивов включали текстовый файл с именем action.inf, легальный исполняемый файл с именем lumpdiag.exe, небольшой вредоносный исполняемый файл с именем msinfo32.exe и зашифрованный полезный файл, название которого варьировалось в разных архивах. Файл action.inf был специально создан для того, чтобы дать указание компоненту службы обновления ViPNet (itcsrvup64.exe) выполнять определенные команды в процессе обновления. Примечательно, что это действие привело к запуску службы обновления lumpdiag.exe с аргументом --msconfig, который, несмотря на то, что является легитимным, уязвим для атак с подменой пути. Эта уязвимость позволяет вредоносному ПО (msinfo32.exe) запускаться одновременно с lumpdiag.exe, что приводит к эффективной компрометации системы.

Разработчик ViPNet подтвердил, что имели место целенаправленные атаки на его базу пользователей, и впоследствии выпустил обновления для системы безопасности, направленные на устранение этих угроз. Инцидент подчеркивает растущую сложность кибератак со стороны APT-групп, которые все чаще используют необычную тактику для компрометации организаций. Это подчеркивает острую необходимость в многоуровневых стратегиях безопасности для защиты от таких целенаправленных атак, подчеркивая, что организации должны сохранять бдительность и внедрять надежные средства защиты для защиты своих сетей от подобных угроз.

#ParsedReport #CompletenessLow
22-04-2025

APT-C-27 (Golden Rat) new attack weapon exposed

https://www.ctfiot.com/242076.html

Report completeness: Low

Actors/Campaigns:
Goldmouse

Threats:
Goldenrat_rat
Revenge_rat

Industry:
Telco

Geo:
Middle east, Syria

ChatGPT TTPs:
do not use without manual check
T1027, T1566, T1574.002

IOCs:
File: 4
Hash: 2

Soft:
Android, WeChat

Algorithms:
md5

Win API:
GetVolumeInformationA, Decompress

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-C-27, или Golden Rat, снова переключил свое внимание на компьютерные системы, развернув троянскую программу удаленного доступа (RAT) под названием Revenge-RAT, которая использует методы обфускации и устанавливает соединения C2 для утечки данных. Возрождение их возможностей следует за периодом, когда основное внимание уделялось Android, а мобильность в системах Windows была выявлена с помощью программы очистки от вредоносных программ new.exe.
-----

APT-C-27, также известный как Golden Rat, является хакером, работающим в основном на Ближнем Востоке и нацеленным на оппозиционные группировки в Сирии, Турции и соседних регионах. Их кибероперации начались в 2014 году, но к 2019 году произошло заметное смещение векторов атак с систем Windows на мобильные платформы Android, что привело к временному прекращению их действий, нацеленных на ПК. Однако в декабре 2024 года новые индикаторы показали возрождение возможностей вредоносных программ, ориентированных на ПК, что побудило 360 Advanced Threat Research Institute провести оперативный технический анализ.

Вредоносная программа, идентифицированная как часть этого обновления, представляет собой исполняемый файл Windows (PE-файл), получивший название clean new.exe, который скрывает реальную вредоносную нагрузку в своих ресурсах. Эта полезная нагрузка представляет собой троян удаленного доступа (RAT), известный как Revenge-RAT. Это вредоносное программное обеспечение предназначено для установления соединения с сервером управления (C2) после расшифровки с помощью различных методов обфускации, таких как замена символов. После запуска RAT использует методы динамического вызова памяти, в частности, методы отложенного привязывания, такие как LateBinding.LateSet, LateBinding.LateGet и LateBinding.LateCall — для восстановления кода в памяти, извлекая необходимые процедуры из встроенных вредоносных компонентов.

Функция Revenge-RAT включает в себя кражу конфиденциальной информации и выполнение команд с сервера C2 после установления соединения. Используемый сервер C2, идентифицируемый по IP-адресу, связанному с Сирийской телекоммуникационной частной закрытой акционерной компанией, играет важную роль в достижении целей злоумышленников.

Для снижения рисков, связанных с подобными угрозами, были рекомендованы определенные рекомендации. Пользователям следует проявлять повышенную бдительность в отношении передачи файлов через социальные платформы, особенно из ненадежных источников. Рекомендуется загружать программное обеспечение исключительно с официальных платформ и проводить тщательное сканирование с помощью средств защиты, таких как 360 Security Guard, для обнаружения потенциальных вредоносных программ. Организациям рекомендуется регулярно проводить обучение сотрудников по вопросам безопасности, чтобы повысить их способность распознавать попытки фишинга и подозрительные взаимодействия. Кроме того, своевременное обновление операционных систем и всего программного обеспечения, включая критические исправления для системы безопасности, имеет важное значение для снижения уровня уязвимости перед такими изощренными атаками.