#ParsedReport #CompletenessMedium
28-05-2025
PureHVNC RAT Using Fake High-level Job Offers from Fashion and Beauty Brands
https://www.netskope.com/blog/purehvnc-rat-using-fake-high-level-job-offers-from-fashion-and-beauty-brands
Report completeness: Medium
Threats:
Purehvnc_tool
Lumma_stealer
Cypherit
Process_hollowing_technique
Dotnet_reactor_tool
Victims:
Individuals seeking marketing jobs
Geo:
Spanish, French, Korean, Indonesian
ChatGPT TTPs:
T1204.002, T1059.001, T1027, T1218.005, T1059.007, T1055.012, T1105, T1059.003, T1129
IOCs:
Url: 1
File: 13
Hash: 2
IP: 2
Soft:
NET Reactor
Algorithms:
cbc, base64, gzip, aes
Functions:
Set-Clipboard, Get-Clipboard, eval
Win API:
UpdateProcThreadAttribute, NtAllocateVirtualMemory, NtWriteVirtualMemory, NtResumeThread
Languages:
python, javascript, autoit, powershell
Links:
28-05-2025
PureHVNC RAT Using Fake High-level Job Offers from Fashion and Beauty Brands
https://www.netskope.com/blog/purehvnc-rat-using-fake-high-level-job-offers-from-fashion-and-beauty-brands
Report completeness: Medium
Threats:
Purehvnc_tool
Lumma_stealer
Cypherit
Process_hollowing_technique
Dotnet_reactor_tool
Victims:
Individuals seeking marketing jobs
Geo:
Spanish, French, Korean, Indonesian
ChatGPT TTPs:
do not use without manual checkT1204.002, T1059.001, T1027, T1218.005, T1059.007, T1055.012, T1105, T1059.003, T1129
IOCs:
Url: 1
File: 13
Hash: 2
IP: 2
Soft:
NET Reactor
Algorithms:
cbc, base64, gzip, aes
Functions:
Set-Clipboard, Get-Clipboard, eval
Win API:
UpdateProcThreadAttribute, NtAllocateVirtualMemory, NtWriteVirtualMemory, NtResumeThread
Languages:
python, javascript, autoit, powershell
Links:
https://github.com/netskopeoss/NetskopeThreatLabsIOCs/tree/main/Malware/PureHVNCNetskope
PureHVNC RAT Using Fake High-level Job Offers from Fashion and Beauty Brands
Summary In recent months, the Netskope Threat Labs team has observed several different campaigns delivering the PureHVNC RAT and its plugins. In 2024, the
CTT Report Hub
#ParsedReport #CompletenessMedium 28-05-2025 PureHVNC RAT Using Fake High-level Job Offers from Fashion and Beauty Brands https://www.netskope.com/blog/purehvnc-rat-using-fake-high-level-job-offers-from-fashion-and-beauty-brands Report completeness: Medium…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Netskope Threat Labs сообщает о кампаниях с использованием PureHVNC RAT, сложных цепочках заражения через Python и использовании веб-сайтов с генеративным искусственным интеллектом. Атаки в основном нацелены на лиц, ищущих работу в сфере красоты, которые используют поддельные предложения, используя такие методы, как PowerShell, JavaScript и AutoIt, для выполнения вредоносных программ, избегая обнаружения.
-----
Недавние наблюдения лаборатории Netskope Threat Labs выявили новые кампании с использованием PureHVNC RAT (троян удаленного доступа) и связанных с ним плагинов. В 2024 году методы доставки этого вредоносного ПО включали в себя цепочку Python и использование веб-сайтов с генеративным искусственным интеллектом для привлечения потенциальных жертв. Известная кампания включает в себя многоуровневую цепочку заражения, которая включает в себя несколько методов, таких как PowerShell, JavaScript, AutoIt и другие, для успешной доставки вируса и использования сложной тактики уклонения.
Кампании в основном нацелены на людей, занимающихся маркетингом в сфере красоты, и используют такие тактические приемы, как поддельные предложения о работе от известных брендов, таких как Bershka, Fragrance Du Bois, John Hardy и Dear Klairs. Первоначальный источник заражения остается неясным, но предполагается, что важным фактором является рассылка по электронной почте. После загрузки вредоносного файла LNK жертвам предлагается выполнить команду PowerShell. Эта команда предназначена для декодирования сценария, закодированного в base64, и впоследствии использует такие командлеты, как Set-Clipboard и IEX, для выполнения команды, которая загружает и исполняет HTA-файл, замаскированный под MP4. Этот HTA-файл содержит вредоносный JavaScript, встроенный в ненужные байты.
При просмотре исходного PDF-файла, в котором представлено сфабрикованное предложение о работе, пользователь непреднамеренно запускает исполняемый файл с именем "phom.exe", скомпилированный с использованием AutoIt. Затем этот исполняемый файл загружает полезную нагрузку под названием "LekRs" в указанный каталог и создает сценарий PowerShell в общей папке. Сценарий AutoIt использует обширную систему обфускации с помощью таких инструментов, как CypherIT, и генерирует файлы в каталоге "%LocalAppData%". Кроме того, для обеспечения сохраняемости скрипт создает ярлык с именем "SwiftWrite.url" в папке автозагрузки Windows, который запускает выполнение файла JavaScript и повторно запускает сценарий автозагрузки.
Сценарий AutoIt также использует разделение процессов для введения полезной нагрузки в целевой процесс, адаптируя свой подход, основанный на наличии антивирусных решений, таких как BitDefender. Память выделяется для полезной нагрузки, которая состоит из реализации .NET framework, которая загружает и выполняет PureHVNC RAT. Детали конфигурации для самого RAT кодируются в base64, а затем сжимаются в GZip. Основная цель PureHVNC RAT заключается в предоставлении злоумышленникам полного доступа к системе, что позволяет им загружать новые вредоносные программы и инструменты. Сложная многоуровневая стратегия заражения, характеризующаяся различными способами обфускации и целенаправленными приманками, усложняет усилия по обнаружению и повышает вероятность успешного заражения. Netskope Threat Labs продолжает отслеживать эволюцию вредоносного ПО PureHVNC и его методов, тактик и процедур (TTP).
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Netskope Threat Labs сообщает о кампаниях с использованием PureHVNC RAT, сложных цепочках заражения через Python и использовании веб-сайтов с генеративным искусственным интеллектом. Атаки в основном нацелены на лиц, ищущих работу в сфере красоты, которые используют поддельные предложения, используя такие методы, как PowerShell, JavaScript и AutoIt, для выполнения вредоносных программ, избегая обнаружения.
-----
Недавние наблюдения лаборатории Netskope Threat Labs выявили новые кампании с использованием PureHVNC RAT (троян удаленного доступа) и связанных с ним плагинов. В 2024 году методы доставки этого вредоносного ПО включали в себя цепочку Python и использование веб-сайтов с генеративным искусственным интеллектом для привлечения потенциальных жертв. Известная кампания включает в себя многоуровневую цепочку заражения, которая включает в себя несколько методов, таких как PowerShell, JavaScript, AutoIt и другие, для успешной доставки вируса и использования сложной тактики уклонения.
Кампании в основном нацелены на людей, занимающихся маркетингом в сфере красоты, и используют такие тактические приемы, как поддельные предложения о работе от известных брендов, таких как Bershka, Fragrance Du Bois, John Hardy и Dear Klairs. Первоначальный источник заражения остается неясным, но предполагается, что важным фактором является рассылка по электронной почте. После загрузки вредоносного файла LNK жертвам предлагается выполнить команду PowerShell. Эта команда предназначена для декодирования сценария, закодированного в base64, и впоследствии использует такие командлеты, как Set-Clipboard и IEX, для выполнения команды, которая загружает и исполняет HTA-файл, замаскированный под MP4. Этот HTA-файл содержит вредоносный JavaScript, встроенный в ненужные байты.
При просмотре исходного PDF-файла, в котором представлено сфабрикованное предложение о работе, пользователь непреднамеренно запускает исполняемый файл с именем "phom.exe", скомпилированный с использованием AutoIt. Затем этот исполняемый файл загружает полезную нагрузку под названием "LekRs" в указанный каталог и создает сценарий PowerShell в общей папке. Сценарий AutoIt использует обширную систему обфускации с помощью таких инструментов, как CypherIT, и генерирует файлы в каталоге "%LocalAppData%". Кроме того, для обеспечения сохраняемости скрипт создает ярлык с именем "SwiftWrite.url" в папке автозагрузки Windows, который запускает выполнение файла JavaScript и повторно запускает сценарий автозагрузки.
Сценарий AutoIt также использует разделение процессов для введения полезной нагрузки в целевой процесс, адаптируя свой подход, основанный на наличии антивирусных решений, таких как BitDefender. Память выделяется для полезной нагрузки, которая состоит из реализации .NET framework, которая загружает и выполняет PureHVNC RAT. Детали конфигурации для самого RAT кодируются в base64, а затем сжимаются в GZip. Основная цель PureHVNC RAT заключается в предоставлении злоумышленникам полного доступа к системе, что позволяет им загружать новые вредоносные программы и инструменты. Сложная многоуровневая стратегия заражения, характеризующаяся различными способами обфускации и целенаправленными приманками, усложняет усилия по обнаружению и повышает вероятность успешного заражения. Netskope Threat Labs продолжает отслеживать эволюцию вредоносного ПО PureHVNC и его методов, тактик и процедур (TTP).
#ParsedReport #CompletenessLow
28-05-2025
Dissecting the macOS 'AppleProcessHub' Stealer: Technical Analysis of a Multi-Stage Attack
https://www.kandji.io/blog/macos-appleprocesshub-stealer
Report completeness: Low
Threats:
Appleprocesshub
ChatGPT TTPs:
T1059.004, T1105, T1560.001, T1071.001, T1005, T1552.001, T1555.001, T1140, T1027
IOCs:
File: 2
Domain: 1
Hash: 2
Soft:
macOS
Algorithms:
aes, aes-128, base64, sha256, zip
Functions:
_start, start, dispatch_after, CallToRequest_10000281a, _IOServiceGetMatchingService, _IORegistryEntryCreateCFProperty, executes_IOServiceGetMatchingService, objc_msgSend, CCCrypt, c2nethandler_100001bd0, have more...
Languages:
python, objective_c
Platforms:
apple
28-05-2025
Dissecting the macOS 'AppleProcessHub' Stealer: Technical Analysis of a Multi-Stage Attack
https://www.kandji.io/blog/macos-appleprocesshub-stealer
Report completeness: Low
Threats:
Appleprocesshub
ChatGPT TTPs:
do not use without manual checkT1059.004, T1105, T1560.001, T1071.001, T1005, T1552.001, T1555.001, T1140, T1027
IOCs:
File: 2
Domain: 1
Hash: 2
Soft:
macOS
Algorithms:
aes, aes-128, base64, sha256, zip
Functions:
_start, start, dispatch_after, CallToRequest_10000281a, _IOServiceGetMatchingService, _IORegistryEntryCreateCFProperty, executes_IOServiceGetMatchingService, objc_msgSend, CCCrypt, c2nethandler_100001bd0, have more...
Languages:
python, objective_c
Platforms:
apple
The-Sequence
Dissecting the macOS 'AppleProcessHub' Stealer: Technical Analysis of a Multi-Stage Attack
Technical analysis of macOS AppleProcessHub stealer malware using AES encryption to evade detection and steal SSH keys, keychain data, and browser history.
CTT Report Hub
#ParsedReport #CompletenessLow 28-05-2025 Dissecting the macOS 'AppleProcessHub' Stealer: Technical Analysis of a Multi-Stage Attack https://www.kandji.io/blog/macos-appleprocesshub-stealer Report completeness: Low Threats: Appleprocesshub ChatGPT TTPs:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Был обнаружен инфокрад для macOS по имени libsystd.dylib, который нацеливался на конфиденциальные данные, такие как пароли для ключей и криптовалютные кошельки, и отправлял информацию на сервер C2. Он использует двоичный файл Objective-C Mach-O с шифрованием AES-128 и выполняет сценарии для сбора данных из пользовательских файлов. Конструкция вредоносного ПО усложняет анализ и выявляет уязвимости в системах macOS.
-----
15 мая 2025 года исследовательская группа по безопасности MalwareHunterTeam обнаружила подозрительный файл macOS с именем libsystd.dylib, который был распознан как инфокрад. Первоначальные показатели обнаружения были низкими, что указывает на то, что это вредоносное ПО было относительно новым или не получило широкого распространения. Инфокрад нацелен на личные данные, включая пароли для связок ключей и криптовалютные кошельки, загружая собранную информацию на сервер, контролируемый злоумышленником. В частности, он удаляет конфиденциальные пользовательские файлы, такие как история bash, история zsh, конфигурации GitHub, данные SSH и содержимое цепочки для ключей. Эта украденная информация может позволить хакерам идентифицировать IP-адреса, доменные имена, внутренние пути и потенциально поставить под угрозу безопасность организации.
Вредоносная программа использует bash-скрипт второго этапа, выполняемый исходным двоичным файлом Mach-O, который подключается к серверу управления (C2) по адресу appleprocesshub.com. Этот C2-сервер обеспечивает загрузку и выполнение сценария кражи данных с последующей загрузкой украденных данных. Хотя основной функцией этой вредоносной программы является простая кража данных, дальнейшее изучение выявило интригующие аспекты исходного двоичного кода Mach-O, в частности его дизайн и механизмы работы.
Двоичный файл Mach-O, в частности, разработан на Objective-C, и его выполнение было подробно проанализировано. Значительная часть функциональных возможностей вредоносного ПО включает в себя обработку зашифрованных данных с помощью функции CCCrypt() с использованием шифрования AES-128 в режиме ECB, хотя вектор инициализации был установлен равным нулю. Такая логика шифрования была легко обратима, что было продемонстрировано исследователями безопасности с помощью простого скрипта на Python.
Вредоносная программа способна выполнять произвольные скрипты с сервера управления. В наблюдаемом случае она специально выполнила скрипт с именем fSidEOWW.sh, который нацелен на определенные файлы, такие как bash_history, zsh_history, gitconfig и файлы конфиденциальных данных, такие как логин.keychain-db. Затем собранная информация сжимается и отправляется обратно на сервер C2. Использование Grand Central Dispatch в двоичном коде Mach-O, наряду с косвенными вызовами функций, связанных с задачами, усложняет статический анализ.
На момент расследования сервер управления не работал, однако вредоносная программа сохранила способность выполнять другие сценарии, что потенциально указывает на наличие запасного механизма или универсальность функциональных возможностей. Этот случай иллюстрирует сложное сочетание тактики и дизайна вредоносного ПО, подчеркивая потенциальные уязвимости в системах macOS и риски, связанные с целенаправленными кражами информации.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Был обнаружен инфокрад для macOS по имени libsystd.dylib, который нацеливался на конфиденциальные данные, такие как пароли для ключей и криптовалютные кошельки, и отправлял информацию на сервер C2. Он использует двоичный файл Objective-C Mach-O с шифрованием AES-128 и выполняет сценарии для сбора данных из пользовательских файлов. Конструкция вредоносного ПО усложняет анализ и выявляет уязвимости в системах macOS.
-----
15 мая 2025 года исследовательская группа по безопасности MalwareHunterTeam обнаружила подозрительный файл macOS с именем libsystd.dylib, который был распознан как инфокрад. Первоначальные показатели обнаружения были низкими, что указывает на то, что это вредоносное ПО было относительно новым или не получило широкого распространения. Инфокрад нацелен на личные данные, включая пароли для связок ключей и криптовалютные кошельки, загружая собранную информацию на сервер, контролируемый злоумышленником. В частности, он удаляет конфиденциальные пользовательские файлы, такие как история bash, история zsh, конфигурации GitHub, данные SSH и содержимое цепочки для ключей. Эта украденная информация может позволить хакерам идентифицировать IP-адреса, доменные имена, внутренние пути и потенциально поставить под угрозу безопасность организации.
Вредоносная программа использует bash-скрипт второго этапа, выполняемый исходным двоичным файлом Mach-O, который подключается к серверу управления (C2) по адресу appleprocesshub.com. Этот C2-сервер обеспечивает загрузку и выполнение сценария кражи данных с последующей загрузкой украденных данных. Хотя основной функцией этой вредоносной программы является простая кража данных, дальнейшее изучение выявило интригующие аспекты исходного двоичного кода Mach-O, в частности его дизайн и механизмы работы.
Двоичный файл Mach-O, в частности, разработан на Objective-C, и его выполнение было подробно проанализировано. Значительная часть функциональных возможностей вредоносного ПО включает в себя обработку зашифрованных данных с помощью функции CCCrypt() с использованием шифрования AES-128 в режиме ECB, хотя вектор инициализации был установлен равным нулю. Такая логика шифрования была легко обратима, что было продемонстрировано исследователями безопасности с помощью простого скрипта на Python.
Вредоносная программа способна выполнять произвольные скрипты с сервера управления. В наблюдаемом случае она специально выполнила скрипт с именем fSidEOWW.sh, который нацелен на определенные файлы, такие как bash_history, zsh_history, gitconfig и файлы конфиденциальных данных, такие как логин.keychain-db. Затем собранная информация сжимается и отправляется обратно на сервер C2. Использование Grand Central Dispatch в двоичном коде Mach-O, наряду с косвенными вызовами функций, связанных с задачами, усложняет статический анализ.
На момент расследования сервер управления не работал, однако вредоносная программа сохранила способность выполнять другие сценарии, что потенциально указывает на наличие запасного механизма или универсальность функциональных возможностей. Этот случай иллюстрирует сложное сочетание тактики и дизайна вредоносного ПО, подчеркивая потенциальные уязвимости в системах macOS и риски, связанные с целенаправленными кражами информации.
#ParsedReport #CompletenessMedium
28-05-2025
PhaaS the Secrets: The Hidden Ties Between Tycoon2FA and Dadsec's Operations
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/phaas-the-secrets-the-hidden-ties-between-tycoon2fa-and-dadsecs-operations/
Report completeness: Medium
Actors/Campaigns:
Storm-1575
Threats:
Tycoon_2fa
Dadsec_tool
Aitm_technique
Credential_harvesting_technique
Cloaking_technique
Spear-phishing_technique
Industry:
Healthcare, Education, Foodtech, Financial
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1566.001, T1566.002, T1557.003, T1204.001, T1036.005, T1189, T1059.007, T1140, T1027, T1497, have more...
IOCs:
File: 2
Url: 3
Soft:
Cloudflare Turnstile, Microsoft Word, CryptoJS
Algorithms:
aes-cbc, pbkdf2, aes, base64
Languages:
php, javascript
28-05-2025
PhaaS the Secrets: The Hidden Ties Between Tycoon2FA and Dadsec's Operations
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/phaas-the-secrets-the-hidden-ties-between-tycoon2fa-and-dadsecs-operations/
Report completeness: Medium
Actors/Campaigns:
Storm-1575
Threats:
Tycoon_2fa
Dadsec_tool
Aitm_technique
Credential_harvesting_technique
Cloaking_technique
Spear-phishing_technique
Industry:
Healthcare, Education, Foodtech, Financial
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1566.001, T1566.002, T1557.003, T1204.001, T1036.005, T1189, T1059.007, T1140, T1027, T1497, have more...
IOCs:
File: 2
Url: 3
Soft:
Cloudflare Turnstile, Microsoft Word, CryptoJS
Algorithms:
aes-cbc, pbkdf2, aes, base64
Languages:
php, javascript
Trustwave
PhaaS the Secrets: The Hidden Ties Between Tycoon2FA and Dadsec's Operations
Trustwave’s Threat Intelligence investigations revealed that the infrastructure used by Dadsec is connected to a campaign leveraging the Tycoon2FA PhaaS platform.
CTT Report Hub
#ParsedReport #CompletenessMedium 28-05-2025 PhaaS the Secrets: The Hidden Ties Between Tycoon2FA and Dadsec's Operations https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/phaas-the-secrets-the-hidden-ties-between-tycoon2fa-and-dadsecs-operations/…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Фишинговая кампания Storm-1575, использующая платформу PhaaS "Dadsec", использует методы AiTM и содержит ссылки на платформу Tycoon2FA. Атака использует автоматизированный сбор учетных данных, обход MFA и продвинутые методы обфускации, нацеливаясь на жертв в основном с помощью ложных электронных писем Microsoft 365. Использование схожей инфраструктуры и кода предполагает прямую адаптацию между платформами, что подчеркивает эволюционный характер онлайн-угроз.
-----
С сентября 2023 года наблюдается масштабная фишинговая кампания, приписываемая хакерской группе Storm-1575. Эта группа разработала платформу "Фишинг как услуга" (PhaaS) под названием "Dadsec", которая использует методы "противника посередине" (AiTM). Недавние расследования выявили связь инфраструктуры Dadsec с другой новой кампанией, использующей платформу Tycoon2FA PhaaS. Эта связь указывает на общую операционную структуру, поскольку обе платформы имеют множество сходств и настраиваемых функций, расширяющих их возможности по борьбе с фишингом.
Фишинговый набор Tycoon2FA использует удобные интерфейсы с функциями автоматизации и быстро распространяется с момента своего создания в августе 2023 года. При анализе Tycoon2FA исследователи выявили отличительные особенности кодирования и структуры фишинговых наборов, что позволяет предположить их прямое происхождение или адаптацию с платформы Dadsec. Последние кампании свидетельствуют о развертывании тысяч фишинговых страниц, размещенных в инфраструктуре, обладающей постоянными характеристиками, включая использование уникальных ресурсов PHP (например, "res444.php") для доставки вредоносной полезной нагрузки.
Фишинговые атаки обычно начинаются с электронных писем, содержащих приманки, направляющие жертв на мошеннические сайты по сбору учетных данных Microsoft 365. Эти сайты используют URL-адреса, которые преобразуются в общий набор IP-адресов, один из которых, в частности, связан с NETWORK-SOLUTIONS-HOSTING (AS19871). Фишинговые наборы реализуют несколько методов уклонения, в том числе пользовательские вызовы турникета Cloudflare для установления личности пользователя с последующей загрузкой запутанного JavaScript, предназначенного для отслеживания взаимодействия с пользователем и извлечения учетных данных в режиме реального времени.
Платформа Tycoon2FA является еще более совершенной, благодаря возможности обхода многофакторной аутентификации (MFA). Она перехватывает сессионные файлы cookie в процессе аутентификации, позволяя злоумышленникам сохранять несанкционированный доступ даже после того, как жертвы изменили свои учетные данные. Фишинговые страницы часто используют JavaScript для динамического манипулирования контентом на основе пользовательского ввода, включая предварительное заполнение адресов электронной почты для повышения достоверности атаки. Чтобы избежать анализа, в наборе используются методы обфускации, такие как шифр Цезаря и кодировка Base64, что значительно усложняет обнаружение.
Кроме того, стратегия фишинга отражает сильные принципы социальной инженерии. В фишинговых электронных письмах часто используются темы, связанные с финансами или предупреждениями о безопасности, чтобы заставить жертву ввести свои учетные данные. В рамках этого набора JavaScript управляет взаимодействием с внутренними серверами, отправляя зашифрованные пользовательские данные и собирая ценную информацию о жертвах, такую как сведения о геолокации и типах браузеров.
Анализ работы Tycoon2FA выявил хорошо скоординированные усилия по использованию уязвимостей в доверии пользователей с использованием различных тактик для повышения эффективности попыток фишинга. Продолжающееся развитие платформ PhaaS, таких как Tycoon2FA, отражает все более сложный хакерский ландшафт, который требует постоянной бдительности, усовершенствованных систем обнаружения и совместных усилий в области кибербезопасности для снижения рисков, связанных с этими угрозами.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Фишинговая кампания Storm-1575, использующая платформу PhaaS "Dadsec", использует методы AiTM и содержит ссылки на платформу Tycoon2FA. Атака использует автоматизированный сбор учетных данных, обход MFA и продвинутые методы обфускации, нацеливаясь на жертв в основном с помощью ложных электронных писем Microsoft 365. Использование схожей инфраструктуры и кода предполагает прямую адаптацию между платформами, что подчеркивает эволюционный характер онлайн-угроз.
-----
С сентября 2023 года наблюдается масштабная фишинговая кампания, приписываемая хакерской группе Storm-1575. Эта группа разработала платформу "Фишинг как услуга" (PhaaS) под названием "Dadsec", которая использует методы "противника посередине" (AiTM). Недавние расследования выявили связь инфраструктуры Dadsec с другой новой кампанией, использующей платформу Tycoon2FA PhaaS. Эта связь указывает на общую операционную структуру, поскольку обе платформы имеют множество сходств и настраиваемых функций, расширяющих их возможности по борьбе с фишингом.
Фишинговый набор Tycoon2FA использует удобные интерфейсы с функциями автоматизации и быстро распространяется с момента своего создания в августе 2023 года. При анализе Tycoon2FA исследователи выявили отличительные особенности кодирования и структуры фишинговых наборов, что позволяет предположить их прямое происхождение или адаптацию с платформы Dadsec. Последние кампании свидетельствуют о развертывании тысяч фишинговых страниц, размещенных в инфраструктуре, обладающей постоянными характеристиками, включая использование уникальных ресурсов PHP (например, "res444.php") для доставки вредоносной полезной нагрузки.
Фишинговые атаки обычно начинаются с электронных писем, содержащих приманки, направляющие жертв на мошеннические сайты по сбору учетных данных Microsoft 365. Эти сайты используют URL-адреса, которые преобразуются в общий набор IP-адресов, один из которых, в частности, связан с NETWORK-SOLUTIONS-HOSTING (AS19871). Фишинговые наборы реализуют несколько методов уклонения, в том числе пользовательские вызовы турникета Cloudflare для установления личности пользователя с последующей загрузкой запутанного JavaScript, предназначенного для отслеживания взаимодействия с пользователем и извлечения учетных данных в режиме реального времени.
Платформа Tycoon2FA является еще более совершенной, благодаря возможности обхода многофакторной аутентификации (MFA). Она перехватывает сессионные файлы cookie в процессе аутентификации, позволяя злоумышленникам сохранять несанкционированный доступ даже после того, как жертвы изменили свои учетные данные. Фишинговые страницы часто используют JavaScript для динамического манипулирования контентом на основе пользовательского ввода, включая предварительное заполнение адресов электронной почты для повышения достоверности атаки. Чтобы избежать анализа, в наборе используются методы обфускации, такие как шифр Цезаря и кодировка Base64, что значительно усложняет обнаружение.
Кроме того, стратегия фишинга отражает сильные принципы социальной инженерии. В фишинговых электронных письмах часто используются темы, связанные с финансами или предупреждениями о безопасности, чтобы заставить жертву ввести свои учетные данные. В рамках этого набора JavaScript управляет взаимодействием с внутренними серверами, отправляя зашифрованные пользовательские данные и собирая ценную информацию о жертвах, такую как сведения о геолокации и типах браузеров.
Анализ работы Tycoon2FA выявил хорошо скоординированные усилия по использованию уязвимостей в доверии пользователей с использованием различных тактик для повышения эффективности попыток фишинга. Продолжающееся развитие платформ PhaaS, таких как Tycoon2FA, отражает все более сложный хакерский ландшафт, который требует постоянной бдительности, усовершенствованных систем обнаружения и совместных усилий в области кибербезопасности для снижения рисков, связанных с этими угрозами.
#ParsedReport #CompletenessLow
28-05-2025
DragonForce actors target SimpleHelp vulnerabilities to attack MSP, customers
https://news.sophos.com/en-us/2025/05/27/dragonforce-actors-target-simplehelp-vulnerabilities-to-attack-msp-customers/
Report completeness: Low
Actors/Campaigns:
Dragonforce (motivation: financially_motivated)
0ktapus
Threats:
Simplehelp_tool
Supply_chain_technique
Msp_remote_tool
Dragonforce_ransomware
Ransomhub
Victims:
Managed service provider, Retail chains, Multiple organizations, Clients
Industry:
Retail
CVEs:
CVE-2024-57728 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- simple-help simplehelp (<5.5.8)
CVE-2024-57726 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- simple-help simplehelp (<5.5.8)
CVE-2024-57727 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- simple-help simplehelp (<5.5.8)
ChatGPT TTPs:
T1078, T1082, T1219, T1486, T1490
IOCs:
Hash: 1
Links:
28-05-2025
DragonForce actors target SimpleHelp vulnerabilities to attack MSP, customers
https://news.sophos.com/en-us/2025/05/27/dragonforce-actors-target-simplehelp-vulnerabilities-to-attack-msp-customers/
Report completeness: Low
Actors/Campaigns:
Dragonforce (motivation: financially_motivated)
0ktapus
Threats:
Simplehelp_tool
Supply_chain_technique
Msp_remote_tool
Dragonforce_ransomware
Ransomhub
Victims:
Managed service provider, Retail chains, Multiple organizations, Clients
Industry:
Retail
CVEs:
CVE-2024-57728 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- simple-help simplehelp (<5.5.8)
CVE-2024-57726 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- simple-help simplehelp (<5.5.8)
CVE-2024-57727 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- simple-help simplehelp (<5.5.8)
ChatGPT TTPs:
do not use without manual checkT1078, T1082, T1219, T1486, T1490
IOCs:
Hash: 1
Links:
https://github.com/sophoslabs/IoCs/blob/master/2505%20DragonForce%20targets%20SimpleHelp%20RMM.csvSophos
DragonForce actors target SimpleHelp vulnerabilities to attack MSP, customers
Ransomware actor exploited RMM to access multiple organizations; Sophos EDR blocked encryption on customer’s network
CTT Report Hub
#ParsedReport #CompletenessLow 28-05-2025 DragonForce actors target SimpleHelp vulnerabilities to attack MSP, customers https://news.sophos.com/en-us/2025/05/27/dragonforce-actors-target-simplehelp-vulnerabilities-to-attack-msp-customers/ Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Злоумышленник воспользовался инструментом SimpleHelp RMM компании MSP для развертывания программы-вымогателя DragonForce, используя стратегию двойного вымогательства при утечке конфиденциальных данных. Несмотря на то, что некоторые клиенты пострадали от серьезных последствий, надлежащая защита конечных точек заблокировала атаку по крайней мере для одной жертвы.
-----
В недавнем инциденте, о котором сообщила Sophos, злоумышленник использовал инструмент удаленного мониторинга и управления (RMM) SimpleHelp от поставщика управляемых услуг (MSP) для проведения атаки на несколько организаций. Это нарушение позволило хакеру внедрить программу-вымогатель DragonForce и получить доступ к конфиденциальным данным, используя стратегию двойного вымогательства, чтобы заставить жертв заплатить выкуп. DragonForce, которая является относительно новой в мире угроз, классифицируется как сложная программа-вымогатель как услуга (RaaS), появившаяся в середине 2023 года. Компания провела ребрендинг, чтобы зарекомендовать себя как "картель", внедрила распределенную партнерскую модель для привлечения более широкого круга партнеров и участвовала в значительных атаках, в частности, на крупные розничные сети в Великобритании и США.
Атака была инициирована, когда Sophos MDR был предупрежден о наличии подозрительного установочного файла SimpleHelp. Этот установщик был развернут с помощью законного экземпляра SimpleHelp, который MSP использовал для своих клиентов. Используя свой доступ с помощью инструмента RMM, злоумышленник смог собрать обширную информацию из различных клиентских сетей, управляемых MSP, включая конфигурации устройств и сведения о пользователях. Примечательно, что у одного из пострадавших клиентов была установлена система Sophos XDR endpoint protection, которая объединяла возможности поведенческого анализа и обнаружения вредоносных программ, что позволяло блокировать программы-вымогатели и предотвращать попытки двойного вымогательства. Действия Sophos MDR привели к закрытию доступа злоумышленника, что обеспечило критическую защиту от программ-вымогателей в сети этого клиента.
Однако MSP и другие клиенты, которые не пользовались услугами Sophos MDR, пострадали от серьезных последствий атаки программ-вымогателей и утечки данных. После инцидента MSP обратилась за помощью в компанию Sophos Rapid Response для цифровой криминалистики и реагирования на инциденты, чтобы справиться с последствиями атаки. Этот инцидент выявил уязвимости, связанные со взломом инструментов RMM, а также эффективность надежных решений для защиты конечных точек в смягчении последствий изощренных атак программ-вымогателей.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Злоумышленник воспользовался инструментом SimpleHelp RMM компании MSP для развертывания программы-вымогателя DragonForce, используя стратегию двойного вымогательства при утечке конфиденциальных данных. Несмотря на то, что некоторые клиенты пострадали от серьезных последствий, надлежащая защита конечных точек заблокировала атаку по крайней мере для одной жертвы.
-----
В недавнем инциденте, о котором сообщила Sophos, злоумышленник использовал инструмент удаленного мониторинга и управления (RMM) SimpleHelp от поставщика управляемых услуг (MSP) для проведения атаки на несколько организаций. Это нарушение позволило хакеру внедрить программу-вымогатель DragonForce и получить доступ к конфиденциальным данным, используя стратегию двойного вымогательства, чтобы заставить жертв заплатить выкуп. DragonForce, которая является относительно новой в мире угроз, классифицируется как сложная программа-вымогатель как услуга (RaaS), появившаяся в середине 2023 года. Компания провела ребрендинг, чтобы зарекомендовать себя как "картель", внедрила распределенную партнерскую модель для привлечения более широкого круга партнеров и участвовала в значительных атаках, в частности, на крупные розничные сети в Великобритании и США.
Атака была инициирована, когда Sophos MDR был предупрежден о наличии подозрительного установочного файла SimpleHelp. Этот установщик был развернут с помощью законного экземпляра SimpleHelp, который MSP использовал для своих клиентов. Используя свой доступ с помощью инструмента RMM, злоумышленник смог собрать обширную информацию из различных клиентских сетей, управляемых MSP, включая конфигурации устройств и сведения о пользователях. Примечательно, что у одного из пострадавших клиентов была установлена система Sophos XDR endpoint protection, которая объединяла возможности поведенческого анализа и обнаружения вредоносных программ, что позволяло блокировать программы-вымогатели и предотвращать попытки двойного вымогательства. Действия Sophos MDR привели к закрытию доступа злоумышленника, что обеспечило критическую защиту от программ-вымогателей в сети этого клиента.
Однако MSP и другие клиенты, которые не пользовались услугами Sophos MDR, пострадали от серьезных последствий атаки программ-вымогателей и утечки данных. После инцидента MSP обратилась за помощью в компанию Sophos Rapid Response для цифровой криминалистики и реагирования на инциденты, чтобы справиться с последствиями атаки. Этот инцидент выявил уязвимости, связанные со взломом инструментов RMM, а также эффективность надежных решений для защиты конечных точек в смягчении последствий изощренных атак программ-вымогателей.
#cyberthreattech
Коллеги, кто пользуется CTT Downloader, перенесите, пожалуйста, запуск выгрузки нового фида на временной интервал, начиная с 05:00 МСК.
У нас сдвинулось время формирования 24 часового дампа :(
Коллеги, кто пользуется CTT Downloader, перенесите, пожалуйста, запуск выгрузки нового фида на временной интервал, начиная с 05:00 МСК.
У нас сдвинулось время формирования 24 часового дампа :(
CTT Report Hub pinned «#cyberthreattech Коллеги, кто пользуется CTT Downloader, перенесите, пожалуйста, запуск выгрузки нового фида на временной интервал, начиная с 05:00 МСК. У нас сдвинулось время формирования 24 часового дампа :(»
#ParsedReport #CompletenessMedium
29-05-2025
Cybercriminals camouflaging threats as AI tool installers
https://blog.talosintelligence.com/fake-ai-tool-installers/
Report completeness: Medium
Threats:
Lucky_ghost
Cyberlock
Numero
Chaos_ransomware
Yashma
Seo_poisoning_technique
Powershell_ransomware
Lolbin_technique
Shadow_copies_delete_technique
Scylla
Geo:
Africa, Asia, Russian, Palestine, Ukraine
ChatGPT TTPs:
T1005, T1036.005, T1053.005, T1059.001, T1082, T1112, T1204.002, T1486, T1490, T1491, have more...
IOCs:
Domain: 1
File: 8
Email: 1
Soft:
Telegram, chatgpt, Microsoft Office, Android, Visual Studio, Windows shell
Crypto:
monero
Algorithms:
zipx, zip, aes, rsa-2048, aes-256
Functions:
GetConsoleWindow, ReadMeNow
Win API:
ShowWindow, GetDesktopWindow, EnumChildWindows, SendMessageW
Languages:
java, cscript, postscript, csharp, powershell, lua
Platforms:
x64
Links:
29-05-2025
Cybercriminals camouflaging threats as AI tool installers
https://blog.talosintelligence.com/fake-ai-tool-installers/
Report completeness: Medium
Threats:
Lucky_ghost
Cyberlock
Numero
Chaos_ransomware
Yashma
Seo_poisoning_technique
Powershell_ransomware
Lolbin_technique
Shadow_copies_delete_technique
Scylla
Geo:
Africa, Asia, Russian, Palestine, Ukraine
ChatGPT TTPs:
do not use without manual checkT1005, T1036.005, T1053.005, T1059.001, T1082, T1112, T1204.002, T1486, T1490, T1491, have more...
IOCs:
Domain: 1
File: 8
Email: 1
Soft:
Telegram, chatgpt, Microsoft Office, Android, Visual Studio, Windows shell
Crypto:
monero
Algorithms:
zipx, zip, aes, rsa-2048, aes-256
Functions:
GetConsoleWindow, ReadMeNow
Win API:
ShowWindow, GetDesktopWindow, EnumChildWindows, SendMessageW
Languages:
java, cscript, postscript, csharp, powershell, lua
Platforms:
x64
Links:
https://github.com/Cisco-Talos/IOCs/blob/main/2025/05/Cisco Talos
Cybercriminals camouflaging threats as AI tool installers
Cisco Talos has uncovered new threats, including ransomware like CyberLock and Lucky_Gh0$t, and a destructive malware called Numero, all disguised as legitimate AI tool installers to target victims.
CTT Report Hub
#ParsedReport #CompletenessMedium 29-05-2025 Cybercriminals camouflaging threats as AI tool installers https://blog.talosintelligence.com/fake-ai-tool-installers/ Report completeness: Medium Threats: Lucky_ghost Cyberlock Numero Chaos_ransomware Yashma…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Cisco Talos сообщает о появлении программ-вымогателей, таких как CyberLock и Lucky_Gh0$t, которые маскируются под инструменты искусственного интеллекта. CyberLock шифрует файлы с помощью AES, требует оплаты в Monero и использует психологические манипуляции и методы уклонения, в то время как Lucky_Gh0$t использует AES и RSA, нацеливаясь на файлы размером менее 1,2 ГБ и скрывая более крупные. Кроме того, вредоносная программа Numero выдает себя за видео-инструмент с искусственным интеллектом, постоянно устанавливается и портит графический интерфейс Windows, используя продвинутую тактику уклонения.
-----
Cisco Talos выявила несколько новых хакеров, особое внимание которых уделяется различным вариантам программ-вымогателей и недавно разработанным вредоносным программам, которые маскируются под законные установки инструментов искусственного интеллекта. Программа-вымогатель CyberLock работает с использованием PowerShell и в первую очередь нацелена на шифрование определенных файлов в системах жертв. Он передает свое требование о выкупе с помощью обманного подхода, утверждая, что доходы от выплаты выкупа пойдут на финансирование гуманитарных усилий в нескольких регионах, включая Палестину и Украину. CyberLock шифрует целевые файлы с помощью AES, добавляя файлу расширение .cyberlock, а также применяя тактику психологических манипуляций, чтобы внушить страх жертвам и потребовать выплаты в размере 50 000 долларов США в Monero (XMR).
Программа-вымогатель, которая действует с февраля 2025 года, использует методы, позволяющие скрыть свои действия в операционной системе. Ему удается повысить свои привилегии, перечислить файлы на нескольких логических разделах и создать сообщение о требовании выкупа на рабочем столе пользователя, а также изменить обои для отображения изображения из блога по кибербезопасности, предположительно, в рамках своей стратегии запугивания. Примечательно, что это включает в себя методику "жизни вне земли", предполагающую использование двоичного файла для стирания следов своей деятельности на жестком диске жертвы.
Аналогичным образом, программа-вымогатель Lucky_Gh0$t распространяется в виде самораспаковывающегося ZIP-файла, маскирующегося под законный установщик искусственного интеллекта. Этот вариант, который является частью семейства программ-вымогателей Yashma, использует различные методы обхода, чтобы избежать обнаружения, и фокусирует свои процессы шифрования на файлах размером менее 1,2 ГБ, используя комбинацию шифрования AES и RSA. Для файлов, размер которых превышает этот порог, Lucky_Gh0$t демонстрирует деструктивное поведение, создавая новый файл, который скрывает исходный.
Также была обнаружена новая вредоносная программа под названием "Numero", которая имитирует программы установки видео с искусственным интеллектом. Эта вредоносная программа работает путем удаления различных вредоносных компонентов, когда пользователь пытается установить то, что, по его мнению, является законным приложением. Это проявляется в виде непрерывного цикла, при котором для постоянного запуска вредоносной программы используются пакетные файлы, при этом элементы графического интерфейса Windows на рабочем столе жертвы повреждаются, что делает ее непригодной для использования. Numero использует передовые методы обхода для обнаружения средств отладки и анализа, расширяя свои возможности скрытности.
Ситуация с угрозами подчеркивает растущую изощренность и устойчивость хакеров, наживающихся на растущем интересе к решениям на основе искусственного интеллекта. Организации в таких секторах, как маркетинг и технологии, подвергаются особой атаке, что требует принятия строгих мер по проверке источников программного обеспечения для снижения рисков, связанных с этими злоумышленниками.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Cisco Talos сообщает о появлении программ-вымогателей, таких как CyberLock и Lucky_Gh0$t, которые маскируются под инструменты искусственного интеллекта. CyberLock шифрует файлы с помощью AES, требует оплаты в Monero и использует психологические манипуляции и методы уклонения, в то время как Lucky_Gh0$t использует AES и RSA, нацеливаясь на файлы размером менее 1,2 ГБ и скрывая более крупные. Кроме того, вредоносная программа Numero выдает себя за видео-инструмент с искусственным интеллектом, постоянно устанавливается и портит графический интерфейс Windows, используя продвинутую тактику уклонения.
-----
Cisco Talos выявила несколько новых хакеров, особое внимание которых уделяется различным вариантам программ-вымогателей и недавно разработанным вредоносным программам, которые маскируются под законные установки инструментов искусственного интеллекта. Программа-вымогатель CyberLock работает с использованием PowerShell и в первую очередь нацелена на шифрование определенных файлов в системах жертв. Он передает свое требование о выкупе с помощью обманного подхода, утверждая, что доходы от выплаты выкупа пойдут на финансирование гуманитарных усилий в нескольких регионах, включая Палестину и Украину. CyberLock шифрует целевые файлы с помощью AES, добавляя файлу расширение .cyberlock, а также применяя тактику психологических манипуляций, чтобы внушить страх жертвам и потребовать выплаты в размере 50 000 долларов США в Monero (XMR).
Программа-вымогатель, которая действует с февраля 2025 года, использует методы, позволяющие скрыть свои действия в операционной системе. Ему удается повысить свои привилегии, перечислить файлы на нескольких логических разделах и создать сообщение о требовании выкупа на рабочем столе пользователя, а также изменить обои для отображения изображения из блога по кибербезопасности, предположительно, в рамках своей стратегии запугивания. Примечательно, что это включает в себя методику "жизни вне земли", предполагающую использование двоичного файла для стирания следов своей деятельности на жестком диске жертвы.
Аналогичным образом, программа-вымогатель Lucky_Gh0$t распространяется в виде самораспаковывающегося ZIP-файла, маскирующегося под законный установщик искусственного интеллекта. Этот вариант, который является частью семейства программ-вымогателей Yashma, использует различные методы обхода, чтобы избежать обнаружения, и фокусирует свои процессы шифрования на файлах размером менее 1,2 ГБ, используя комбинацию шифрования AES и RSA. Для файлов, размер которых превышает этот порог, Lucky_Gh0$t демонстрирует деструктивное поведение, создавая новый файл, который скрывает исходный.
Также была обнаружена новая вредоносная программа под названием "Numero", которая имитирует программы установки видео с искусственным интеллектом. Эта вредоносная программа работает путем удаления различных вредоносных компонентов, когда пользователь пытается установить то, что, по его мнению, является законным приложением. Это проявляется в виде непрерывного цикла, при котором для постоянного запуска вредоносной программы используются пакетные файлы, при этом элементы графического интерфейса Windows на рабочем столе жертвы повреждаются, что делает ее непригодной для использования. Numero использует передовые методы обхода для обнаружения средств отладки и анализа, расширяя свои возможности скрытности.
Ситуация с угрозами подчеркивает растущую изощренность и устойчивость хакеров, наживающихся на растущем интересе к решениям на основе искусственного интеллекта. Организации в таких секторах, как маркетинг и технологии, подвергаются особой атаке, что требует принятия строгих мер по проверке источников программного обеспечения для снижения рисков, связанных с этими злоумышленниками.
#ParsedReport #CompletenessHigh
29-05-2025
Pakistan Telecommunication Company (PTCL) Targeted by Bitter APT During Heightened Regional Conflict
https://blog.eclecticiq.com/pakistan-telecommunication-company-ptcl-targeted-by-bitter-apt-during-heightened-regional-conflict
Report completeness: High
Actors/Campaigns:
Bitter (motivation: cyber_espionage, sabotage)
Sindoor
Threats:
Spear-phishing_technique
Wmrat
Stealc
Lolbin_technique
Supply_chain_technique
Victims:
Pakistan telecommunication company limited, Counter terrorism department, Turkish defence-sector organization
Industry:
Telco, Military, Government
Geo:
Turkish, Pakistani, Pakistan, Asian, India
ChatGPT TTPs:
T1005, T1027, T1036.004, T1059.001, T1059.003, T1071.001, T1078, T1105, T1113, T1140, have more...
IOCs:
File: 8
Url: 1
Registry: 1
Domain: 3
IP: 2
Hash: 3
Soft:
Microsoft Office, curl, Windows Registry, Internet Explorer
Algorithms:
base64, xor
Languages:
powershell, php
29-05-2025
Pakistan Telecommunication Company (PTCL) Targeted by Bitter APT During Heightened Regional Conflict
https://blog.eclecticiq.com/pakistan-telecommunication-company-ptcl-targeted-by-bitter-apt-during-heightened-regional-conflict
Report completeness: High
Actors/Campaigns:
Bitter (motivation: cyber_espionage, sabotage)
Sindoor
Threats:
Spear-phishing_technique
Wmrat
Stealc
Lolbin_technique
Supply_chain_technique
Victims:
Pakistan telecommunication company limited, Counter terrorism department, Turkish defence-sector organization
Industry:
Telco, Military, Government
Geo:
Turkish, Pakistani, Pakistan, Asian, India
ChatGPT TTPs:
do not use without manual checkT1005, T1027, T1036.004, T1059.001, T1059.003, T1071.001, T1078, T1105, T1113, T1140, have more...
IOCs:
File: 8
Url: 1
Registry: 1
Domain: 3
IP: 2
Hash: 3
Soft:
Microsoft Office, curl, Windows Registry, Internet Explorer
Algorithms:
base64, xor
Languages:
powershell, php
Eclecticiq
Pakistan Telecommunication Company (PTCL) Targeted by Bitter APT During Heightened Regional Conflict
Bitter APT targets Pakistan Telecommunication Company during India-Pakistan conflict via spear phishing, using WmRAT malware to gain strategic intelligence and disrupt key communications.