#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Китайская хакерская группа APT41, спонсируемая государством, запустила кампанию с использованием вредоносного ПО TOUGHPROGRESS, которое тайно использует Google Calendar в качестве канала C2 для выполнения команд и утечки данных. Кампания начинается с точечного фишинга, который приводит к получению ZIP-файла, содержащего вредоносный LNK-файл, и использует передовые методы обхода, работая исключительно в памяти, чтобы избежать обнаружения. Рекомендации включают обучение пользователей фишингу и расширенный мониторинг использования облачных технологий.
-----

APT41 - это китайская хакерская группа, спонсируемая государством, нацеленная на правительственные организации. Недавно созданная ими вредоносная программа TOUGHPROGRESS использует Google Calendar в качестве канала управления (C2), встраивая зашифрованные команды в события календаря, чтобы избежать обнаружения. TOUGHPROGRESS выполняет команды, извлекает данные, скрытые в описаниях календаря, и работает исключительно в памяти, чтобы обойти традиционные методы обнаружения. Предыдущее вредоносное ПО, использовавшееся APT41, включало в себя VOLDEMORT и DUSTTRAP, которые также использовали облачную инфраструктуру для C2. Цепочка атак обычно начинается с отправки фишинговых электронных писем, ведущих к ZIP-архиву на взломанном сайте, содержащему файл Windows LNK, замаскированный под PDF, и вредоносные изображения в формате JPEG. Компонент PLUSDROP расшифровывает и выполняет дальнейшие этапы, в то время как PLUSINJECT использует процесс "опустошения" для внедрения кода в svchost.exe и развертывания TOUGHPROGRESS. Вредоносная программа взаимодействует с событиями Google Calendar, контролируемыми злоумышленниками, используя события нулевой минуты для маскировки контента. APT41 использует средства сокращения URL-адресов, такие как TinyURL, для маскировки вредоносных ссылок. Рекомендации по безопасности включают обучение по обнаружению фишинга, мониторинг аномалий в использовании облачных сервисов, использование endpoint protection для полезной нагрузки, предназначенной только для памяти, и поддержание актуальной информации об угрозах. Для облегчения идентификации в сетях были опубликованы правила обнаружения YARA для TOUGHPROGRESS.

#ParsedReport #CompletenessLow
30-05-2025

BtHoster: Identifying noisy networks emitting malicious traffic through masscan servers

https://www.intrinsec.com/wp-content/uploads/2025/05/TLP-CLEAR-BtHoster-Identifying-noisy-networks-emitting-malicious-traffic-through-masscan-servers-1.pdf

Report completeness: Low

Actors/Campaigns:
Shadowsyndicate
Gamaredon
Doppelgnger
Noname057
Uac-0050
Uac-0006

Threats:
Masscan_tool
Cobalt_strike_tool
Mirai
Riseprostealer
Remcos_rat
Moobot
Hookbot
Formbook
Mitm_technique
Ddosia_botnet

Industry:
Energy, Telco

Geo:
Asia, Usa, Vietnam, Russian, Dutch, Netherlands, Iranian, Bulgaria, Serbian, Seychelles, Cyprus, Russia, Spanish, Bulgarian, Uzbekistan, Serbia, New york, United kingdom, Iran, Lithuania

ChatGPT TTPs:
do not use without manual check
T1016, T1041, T1046, T1071.001, T1071.004, T1090, T1110, T1190, T1210, T1557.003, have more...

IOCs:
IP: 33

Soft:
telegram, instagram

Win API:
Pie

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Две сети, Skynet Network Ltd и Inside Network LTD, связанные с высокочастотными атаками, как полагают, управляются BtHoster, пуленепробиваемым хостинг-провайдером. Они способствуют значительным вредоносным действиям, включая атаки методом перебора и сканирование, с подключением к различным серверам malware C2, что свидетельствует о совместных усилиях мошеннических хостинг-провайдеров, в том числе связанных с кибероперациями, спонсируемыми российским государством. Постоянный мониторинг этих сетей необходим для предотвращения будущих атак.
-----

Недавний анализ сетей, связанных с высокочастотными атаками, выявил две ключевые автономные системы: Skynet Network Ltd (AS214295) и Inside Network LTD (AS215476). Считается, что обе сети управляются BtHoster, пуленепробиваемым хостинг-провайдером, который предлагает предварительно настроенные серверы massscan, способные обрабатывать до 1 300 000 пакетов в секунду. Эти сети, базирующиеся в Великобритании, направляют трафик через вышестоящего провайдера UAB Host Baltic (AS209605), расположенного в Литве, где также размещено значительное количество вариантов ботнета Mirai и множество серверов управления вредоносными программами (C2), включая Cobalt Strike и Moobot.

Расследования показали, что многие IP-адреса, используемые в атаках, исходят от небольших автономных систем, при этом особое внимание уделяется Skynet Network Ltd, которая за последний месяц зафиксировала более миллиона атак на системы honeypot. Наблюдаемое вредоносное поведение включает попытки входа в систему методом "брутфорс", активные действия по сканированию и развертывание различных разновидностей вредоносных программ. Кроме того, было отмечено, что общие префиксы из предыдущих иранских сетей были перераспределены в эти сети, возможно, для маскировки источника атак.

В сложной сети UAB Host Baltic и связанные с ней организации выявили вызывающие беспокойство соединения, свидетельствующие о перехвате BGP и изменениях в ASN. Операции также включают ссылки на другие защищенные хостинговые компании, такие как SS-Net и 4Vendeta, что указывает на скоординированные усилия мошеннических хостинг-провайдеров по уклонению от обнаружения и поддержанию инфраструктуры для вредоносных действий. Несколько других вовлеченных сетей предлагают “пуленепробиваемые” функции, которые позволяют совершать различные незаконные действия, что еще больше усложняет работу хакеров.

Более того, кипрская компания IT HOSTLINE LTD была идентифицирована как ключевой участник этой сети злоупотреблений, предоставляющий префиксы IPv4 нескольким вредоносным сетям, связанным с деятельностью, спонсируемой российским государством. Сюда входят компании, часто связанные с кибероперациями, такими как Gamaredon и программы-вымогатели. Взаимосвязанность этих организаций, включая совместное использование инфраструктуры и пиринговые соглашения, демонстрирует коллективный характер хакеров, использующих пуленепробиваемый хостинг для проведения атак, включая фишинг и вторжения методом "грубой силы" в корпоративные сети.

Текущие сложности этих сетей и методов их работы требуют постоянного мониторинга и принятия упреждающих мер аналитиками в области кибербезопасности. Поддержание бдительности в отношении перемещений и адаптации этих инфраструктур может предотвратить потенциальные атаки в будущем. Блокирование доступа из пуленепробиваемых хостинговых сетей имеет решающее значение для устранения угроз, возникающих при первоначальных попытках доступа и последующих вредоносных действиях, связанных с операторами программ-вымогателей и посредниками доступа к вторжениям.

#ParsedReport #CompletenessHigh
31-05-2025

StealC v2 Malware Enhances Stealth and Expands Data Theft Features

https://www.picussecurity.com/resource/blog/stealc-v2-malware-enhances-stealth-and-expands-data-theft-features

Report completeness: High

Actors/Campaigns:
Plymouth (motivation: cyber_criminal)

Threats:
Stealc
Themida_tool
Timebomb_technique

Industry:
E-commerce, Entertainment

Geo:
Ukrainian, Russian, Asia, Belarus, Belarusian, Ukraine, Russia, America, Uzbekistan, Kazakhstan

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036.005, T1059.001, T1070.004, T1071.001, T1074.001, T1082, T1105, T1113, have more...

IOCs:
File: 12
Hash: 4
Command: 2
Path: 4

Soft:
Windows Installer, Chrome, Firefox, Opera, Chrome, Firefox, Microsoft Outlook, Windows Defender Application Control, Telegram, Discord

Algorithms:
zip, sha256, rc4, base64

Functions:
qword_7FF72B904E10, It

Win API:
GetWindowsDirectoryA, GetVolumeInformationA, ShellExecuteEx, LoadLibraryA

Languages:
powershell, php

Platforms:
x86

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
StealC, инфокрад и загрузчик вредоносных программ, приобрел популярность в 2023 году как вредоносное ПО как услуга. Его последняя версия, v2.2.4, улучшает скрытность и эксфильтрацию данных благодаря новому протоколу C2 на основе JSON и улучшенной доставке полезной нагрузки. Он нацелен на различные приложения для кражи учетных данных, избегая при этом систем с языками, связанными с СНГ, что указывает на его восточноевропейское происхождение.
-----

StealC - это программа для кражи информации и загрузки вредоносных программ, появившаяся в начале 2023 года и популярная среди киберпреступников благодаря низкой стоимости и эффективности. Она работает как программа "Вредоносное ПО как услуга" и продается на подпольных форумах. В начале 2025 года была выпущена версия 2.2.4, улучшающая возможности скрытности и утечки данных. В новой версии используется протокол управления на основе JSON (C2) и улучшенные методы доставки полезной нагрузки. StealC в основном поставляется в виде исполняемого файла Windows, замаскированного под вредоносные приложения. Он использует методы упаковки файлов и обфускации, чтобы избежать обнаружения, и работает в фоновом режиме без цифровых подписей. Вредоносная программа нацелена на отдельных пользователей в различных секторах, извлекая учетные данные из веб-браузеров, VPN и игровых аккаунтов. Это позволяет избежать заражения систем с языками, относящимися к Содружеству Независимых Государств (СНГ). После запуска StealC v2 выполняет процедуры инициализации, проверяет допустимые операционные среды и гарантирует, что запускается только один экземпляр, используя событие mutex. Он генерирует аппаратный идентификатор для уникальной идентификации в C2 communications и устанавливает первоначальные соединения C2 с помощью сообщений JSON в кодировке Base64. Основная функциональность вредоносного ПО включает модуль захвата, предназначенный для различных типов данных, включая веб-браузеры и криптовалютные кошельки, с различными методами расшифровки для разных браузеров. Он оснащен встроенным загрузчиком, позволяющим загружать и выполнять дополнительные вредоносные программы. Организациям рекомендуется повысить безопасность конечных точек, внедрить надежные фильтры электронной почты и отслеживать аномальное поведение и необычную сетевую активность, связанную с StealC. Постоянный мониторинг нерегулярного исходящего трафика может помочь в обнаружении заражений.

#ParsedReport #CompletenessLow
31-05-2025

Tracking AyySSHush: a Newly Discovered ASUS Router Botnet Campaign

https://censys.com/blog/tracking-ayysshush-a-newly-discovered-asus-router-botnet-campaign

Report completeness: Low

Actors/Campaigns:
Vicioustrap

Threats:
Ayysshush
Residential_proxy_technique

Victims:
Asus router owners, Residential isp customers, Telecommunication providers

Industry:
Education, Entertainment, Iot, Telco

Geo:
Hong kong, Asian, Asia-pacific, China, Sweden, Singapore, Taiwan, Apac, Asia

CVEs:
CVE-2023-39780 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- asus rt-ax55 firmware (3.0.0.4.386.51598)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.004, T1036, T1059.001, T1071.001, T1078.003, T1098.004, T1110.001, T1190, T1587.001

IOCs:
File: 2
Coin: 1
IP: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
AyySSHush - это ботнет, нацеленный на маршрутизаторы ASUS, реализующий многоэтапные атаки, которые используют функции встроенного ПО для постоянного доступа через черный ход. При первоначальном доступе используются атаки методом перебора или обхода аутентификации (CVE-2023-39780), которые вводят SSH-ключи для долгосрочного контроля, затрагивая тысячи устройств, в основном в США и Азии.
-----

AyySSHush - это недавно обнаруженный ботнет, нацеленный на маршрутизаторы ASUS, использующий сложную многоэтапную атаку, которая использует надежные функции встроенного ПО для создания постоянного доступа через черный ход, обходя обычные методы обнаружения. Обнаруженная исследователями из GreyNoise в марте 2025 года, эта кампания использует законные возможности системы AiProtection от ASUS для внедрения SSH-бэкдоров, которые работают даже после обновления встроенного ПО, сохраняя контроль над скомпрометированными устройствами.

Первоначальный доступ к жертвам осуществляется с помощью атак методом "грубой силы" на страницу входа в систему маршрутизатора или путем использования более старых уязвимостей для обхода аутентификации. Злоумышленники также используют методы внедрения команд для манипулирования настройками AiProtection маршрутизатора, в частности, используя уязвимость при внедрении аутентифицированных команд (CVE-2023-39780). Используя вредоносные параметры токена обновления Google OAuth, они могут выполнять команды, которые управляют конфигурациями маршрутизатора.

Оперативный метод заключается в создании файла журнала, предназначенного для обеспечения постоянных возможностей при настройке сети. Злоумышленники внедряют свой SSH-ключ в файл authorized_keys маршрутизатора с помощью управления конфигурацией, эффективно обеспечивая удаленный доступ через необычный порт (TCP/53282). Эта скрытая тактика гарантирует, что несанкционированный доступ может сохраняться при обновлении и сбросе настроек, поскольку SSH-ключ, переданный через надежные механизмы, остается неизменным.

По состоянию на 28 мая 2025 года данные GreyNoise и Censys выявили тревожные масштабы ботнета AyySSHush: признаки взлома были обнаружены на 4504 устройствах ASUS. Географический разброс указывает на то, что уязвимые маршрутизаторы сосредоточены в основном в США, Швеции, Тайване, Сингапуре и Гонконге. Целенаправленное использование сетей широкополосного доступа в жилых домах, особенно распространенное среди азиатских и европейских телекоммуникационных провайдеров, предполагает стратегический подход к маскировке вредоносных действий в рамках обычного трафика.

AyySSHush отражает заметную эволюцию хакерской тактики, подчеркивая тенденцию использования встроенного ПО для обеспечения постоянного доступа к оборудованию потребительского класса. Исследователи также связывают это с аналогичными кампаниями, проводимыми группой, называемой ViciousTrap, хотя точное определение действующих лиц остается неоднозначным.

Было замечено, что инфраструктура ботнета претерпевает значительные колебания, демонстрируя быстрые циклы роста и упадка, что свидетельствует о быстром реагировании на внешнюю проверку и возможные оперативные корректировки. Несмотря на то, что в последнее время количество обнаруженных скомпрометированных устройств сократилось, сохранение тысяч потенциально зараженных маршрутизаторов свидетельствует об устойчивости и глубине операций AyySSHush. В целом, эта разработка представляет собой серьезную проблему в области безопасности Интернета вещей, поскольку особое внимание уделяется использованию законных функций встроенного ПО для предотвращения обнаружения и поддержания долгосрочного контроля над скомпрометированными сетями.

#ParsedReport #CompletenessLow
01-06-2025

Behind the Script: Unmasking Phishing Attacks Using Google Apps Script

https://cofense.com/blog/behind-the-script-unmasking-phishing-attacks-using-google-apps-script

Report completeness: Low

Victims:
Legitimate company that provides disability and health equipment, Company employees, Recipients of phishing emails

Industry:
Healthcare

ChatGPT TTPs:
do not use without manual check
T1114, T1192, T1556.001, T1566.002

IOCs:
Url: 2
IP: 6

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
хакеры используют надежные платформы, такие как Google Apps Script, в фишинговых кампаниях для размещения вредоносного контента, что повышает его аутентичность и позволяет избежать обнаружения. Недавние атаки связаны с отправкой поддельных электронных счетов-фактур, которые перенаправляют пользователей на поддельные страницы входа с захватом учетных данных, что создает значительный риск утечки данных.
-----

Последние разработки в области методов фишинга показывают, что хакеры все чаще используют надежные платформы для повышения надежности своих атак. Недавняя фишинговая кампания, выявленная Центром защиты от фишинга Cofense, иллюстрирует эту тенденцию, используя скрипт Google Apps для размещения вредоносного контента в доверенной среде Google. В рамках этой конкретной кампании фишинговое электронное письмо выдается за счет-фактуру, заставляя получателей перейти по ссылке, которая перенаправляет их на поддельную веб-страницу, размещенную на поддомене Google (script.google.com). Такая стратегия не только усиливает иллюзию подлинности, но и затрудняет обнаружение злоумышленных намерений средствами безопасности.

Электронное письмо в рамках этой кампании, имитирующее законные счета-фактуры от компании, предоставляющей оборудование для инвалидов и медицинское оборудование, демонстрирует, как хакеры могут использовать настоящие деловые коммуникации. При проведении атаки используется психологическое давление срочности и двусмысленности, используются короткие, минималистичные сообщения, предназначенные для обхода спам-фильтров. Эта обманчивая тактика нацелена на то, что процесс принятия решений у получателей занимает доли секунды, что повышает вероятность того, что они ознакомятся с контентом без тщательного изучения.

При нажатии кнопки "Предварительный просмотр", связанной с поддельным счетом, у пользователей создается ложное ощущение безопасности, прежде чем они столкнутся с мошенническим приглашением для входа в систему, которое выглядит как подлинное. Дизайн тщательно разработан, чтобы походить на настоящие экраны входа в систему, что основано на доверии пользователей к Google как к надежной платформе. Как только жертвы вводят свои учетные данные, фишинговая страница захватывает эту конфиденциальную информацию и передает ее злоумышленникам с помощью PHP-скрипта. Впоследствии пользователи перенаправляются на подлинную страницу входа в систему Microsoft, что еще больше запутывает следы злоумышленников и уменьшает непосредственные подозрения.

Этот сложный метод демонстрирует, как злоумышленники используют надежные домены для повышения эффективности своих фишинговых схем. Поскольку основной целью является кража учетных данных, такие мошеннические действия могут привести к значительным утечкам данных и финансовым последствиям для скомпрометированных организаций. Следовательно, как для отдельных лиц, так и для организаций крайне важно сохранять бдительность в отношении этих развивающихся угроз и обучать сотрудников распознавать попытки фишинга.

#ParsedReport #CompletenessLow
01-06-2025

New Weapon of Choice - How Threat Actors Hijack Legitimate Remote Access Tools

https://cofense.com/blog/new-weapon-of-choice-how-threat-actors-hijack-legitimate-remote-access-tools

Report completeness: Low

Threats:
Screenconnect_tool
Atera_tool
Splashtop_tool
Fleetdeck_tool
Anydesk_tool
Teamviewer_tool
Remcos_rat
Logmein_tool
Gotoassist_tool
Gooxion
Pdq_connect_tool
N-able_tool

Victims:
Social security administration, Files.fm, Brazilian labor court, Agenzia per la cybersicurezza nazionale

Industry:
Financial, Transport, Government

Geo:
Italian, Chinese, German, Brazilian, French, Portuguese

ChatGPT TTPs:
do not use without manual check
T1071.001, T1105, T1219, T1566.001, T1566.002, T1583.001, T1584.001

IOCs:
Url: 2

Soft:
Microsoft OneDrive

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
хакеры все чаще используют законные средства удаленного доступа (RAT), такие как ConnectWise, Atera и FleetDeck, в злонамеренных целях, используя такие тактики, как фишинг и социальная инженерия, для установки этих средств на компьютеры жертв с целью дальнейших атак и кражи учетных данных. В 2024 году на ConnectWise RAT пришлось 56% сообщений об угрозах, а гибкий испытательный период Atera позволяет проводить более длительные кампании. Злоупотребление RATs свидетельствует о появлении новых хакеров и проблемах с защитой от кибербезопасности.
-----

хакеры часто используют законные средства удаленного доступа (RAT), злонамеренно внедряя их на ничего не подозревающих жертвах, что отличает эти средства от традиционных троянов удаленного доступа. Как только RAT устанавливается на компьютер жертвы, он может облегчить дальнейшую загрузку вредоносных программ или обеспечить мониторинг конфиденциальной информации, такой как учетные данные. В этом отчете подчеркивается растущее злоупотребление RATs, с акцентом на конкретные примеры, такие как ConnectWise RAT, Atera и FleetDeck, а также связанные с ними тактики, методы и процедуры (TTP).

ConnectWise RAT, известный легальный инструмент удаленного доступа, был признан наиболее часто используемым, на его долю пришлось 56% сообщений об активных угрозах (ATR) в 2024 году. Кампании, использующие этот RAT, включают в себя подделку электронных писем от Администрации социального обеспечения и files.fm часто нацелены на пользователей, связанных с финансами. ConnectWise обеспечивает простоту развертывания, включая 14-дневную бесплатную пробную версию, которой злоумышленники часто злоупотребляют. Инструмент может генерировать исполняемые файлы Windows, используемые для установки, а его связь по умолчанию осуществляется через порт 8041. Примечательно, что в его кампаниях часто используются электронные письма, созданные в социальных сетях, которые обманом заставляют пользователей загружать установщик ConnectWise RAT, замаскированный под законное приложение.

Atera - это еще один RAT, который сочетает в себе функции удаленного мониторинга и управления и интегрируется с такими популярными RAT, как Splashtop. Гибкая 30-дневная пробная версия программы дает хакерам время для проведения расширенных кампаний. Агенты Atera генерируют значительный сетевой трафик через различные конечные точки API, что потенциально позволяет осуществлять эффективную коммуникацию между командами и контролерами (C2). Отслеживание показывает, что этот инструмент использовался в кампаниях по подделке уведомлений бразильского суда по трудовым спорам и привел к серии вредоносных электронных писем, предназначенных для португалоязычных пользователей.

Реже FleetDeck представляет собой специализированное решение, которое завоевало популярность среди хакеров, особенно учитывая отсутствие последних обновлений и технического обслуживания с 2022 года. Инфраструктура FleetDeck известна тем, что облегчает коммуникации C2, и ее кампании часто включают фишинговые электронные письма о неоплаченных счетах, пытаясь убедить получателей в том, что для доступа к необходимым документам требуется инструмент, связанный с Adobe.

Другие RAT, такие как LogMeIn Resolve, Gooxion, PDQ Connect и другие, были определены в рамках отдельных кампаний, посвященных различным темам — от финансов до доставки — на нескольких языках. В совокупности эти наблюдения иллюстрируют многогранность и риск RATs в хакерской среде, поскольку угрозы постоянно развиваются, а злоумышленники переключаются между инструментами, основанными на доступности и предполагаемой легитимности, что усугубляет проблемы защиты кибербезопасности.

#ParsedReport #CompletenessLow
01-06-2025

Fake Course, Real Threat: Learning a Phishing Lesson the Hard Way

https://cofense.com/blog/fake-course-real-threat-learning-a-phishing-lesson-the-hard-way

Report completeness: Low

Victims:
Coursera users, Facebook users, Online learning platform users

ChatGPT TTPs:
do not use without manual check
T1114, T1192, T1204.001, T1566.001, T1589.002

IOCs:
Url: 2
IP: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинговая кампания нацелена на пользователей платформ онлайн-обучения, таких как Coursera, путем подделки электронных писем с приглашениями, перенаправления пользователей на поддельную страницу входа в систему. Этот метод использует логины в социальных сетях для кражи учетных данных и отправки их на сервер управления.
-----

Недавняя фишинговая кампания, выявленная Центром защиты от фишинга Cofense (PDC), использует популярность платформ онлайн-обучения, в частности, для пользователей таких сервисов, как Coursera. Этот сложный подход использует привлекательность онлайн-курсов, чтобы обманом заставить жертв предоставить свои учетные данные. Изначально фишинговая программа пытается подделать законную платформу Coursera, рассылая приглашения пользователям, что делает ее надежным источником. Однако вместо того, чтобы направлять пользователей на реальный веб-сайт, она перенаправляет их на поддельную страницу входа в систему под видом входа через Facebook.

Когда пользователи нажимают кнопку "Зарегистрироваться", им предлагается воспользоваться знакомым интерфейсом, который предлагает им войти в Coursera, используя свои учетные записи Facebook, используя удобство входа в социальные сети в качестве тактики для повышения вероятности фишинга учетных данных. Если жертвы продолжают, им открывается поддельная страница входа в Facebook, на которой запрашивается номер их мобильного телефона или адрес электронной почты вместе с паролем. Этот метод не только имитирует подлинный процесс входа в систему, но и перенаправляет украденные учетные данные на сервер управления (C2) хакера.

В рамках этой кампании хакеры демонстрируют использование мультиплатформенного спуфинга и использование интереса пользователей к возможностям бесплатного обучения, сочетая социальную инженерию с техническими манипуляциями для кражи учетных данных. По мере развития хакеров такие стратегии фишинга, вероятно, будут распространяться все шире, что подчеркивает важность бдительности пользователей. Рекомендации для пользователей включают проверку подозрительных электронных писем, включение двухфакторной аутентификации (2FA), где это возможно, и сообщение о любых сомнительных сообщениях в ИТ-отделы.

#ParsedReport #CompletenessLow
02-06-2025

Glitch-hosted Phishing Uses Telegram & Fake CAPTCHAs to Target Navy Federal Credit Union Customers

https://www.netskope.com/blog/glitch-hosted-phishing-uses-telegram-fake-captchas-to-target-navy-federal-credit-union-customers

Report completeness: Low

Threats:
Fakecaptcha_technique
Glitch

Victims:
Navy federal credit union members, T-mobile accounts, Companies email users, Credit card holders, Other banks customers

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1016, T1036, T1071.001, T1111, T1140, T1204, T1566.002, T1567.002

IOCs:
Url: 200

Soft:
Telegram, Node.js, AWS Amplify

Algorithms:
exhibit

Win API:
sendMessage

Languages:
javascript

Links:
https://github.com/netskopeoss/NetskopeThreatLabsIOCs/tree/main/Phishing/Glitch

#ParsedReport #GeneratedSchema
Generated with GPT-4