#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В марте 2025 года UNC5792 провел фишинговую кампанию в Армении, используя Signal для заманивания целей на поддельную "информационную платформу", выдавая себя за фиктивного сотрудника Министерства промышленности высоких технологий. Злоумышленники проявили гибкость, часто меняя вредоносные URL-адреса и постоянно отслеживая свои цели, что свидетельствует о высоком уровне изощренности.
-----

В начале марта 2025 года CyberHUB-AM выявил масштабную фишинговую кампанию, направленную против отдельных лиц и организаций в гражданском обществе и государственном секторе Армении. Деятельность приписывается APT-группе, известной как UNC5792, которая ранее была связана со вредоносными действиями, оцененными Mandiant. Нападавшие использовали обманный прием, выдав себя за вымышленное лицо по имени "Армине Погосян", которое предположительно было сотрудником Министерства высокотехнологичной промышленности Армении.

Используя платформу обмена сообщениями Signal, известную своими функциями зашифрованной связи, хакеры пригласили получателей присоединиться к "информационной платформе", предназначенной для предоставления информации о политических событиях в мире и Армении. Этот подход знаменует собой переход к более безопасным каналам связи для попыток фишинга, а не к обычным методам электронной почты. Целью приманки были соответствующие деятели в секторе НПО Армении, инициативы по проведению законодательных реформ и государственные учреждения, что свидетельствовало о намерении собирать разведданные или манипулировать общественными делами.

В кампании использовались крайне вредоносные временные URL-адреса, которые в рамках своей стратегии были изменены с add-group.tech на group-add.com. Эта адаптивность была подчеркнута, когда злоумышленники предоставили новую активную вредоносную ссылку сразу после того, как узнали, что срок действия предыдущей истек, что свидетельствует о постоянном мониторинге их целей и динамическом управлении фишинговой инфраструктурой. Все выявленные домены, связанные с этой кампанией, были классифицированы VirusTotal как особо опасные, и источники из Mandiant и Google Threat Intelligence подтвердили, что они связаны с UNC5792.

#ParsedReport #CompletenessLow
04-06-2025

Malware Masquerades as Legitimate, Hidden WordPress Plugin with Remote Code Execution Capabilities

https://www.wordfence.com/blog/2025/06/malware-masquerades-as-legitimate-hidden-wordpress-plugin-with-remote-code-execution-capabilities/

Report completeness: Low

Victims:
Wordpress users, Website administrators

Industry:
E-commerce

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1078, T1505.003

IOCs:
File: 3

Soft:
WordPress

Algorithms:
base64

Functions:
wp_get_current_user, configure_cloudserver, get_cloudserver_db, custom_reporter_cookie_timer_check, custom_reporter_action, system, AJAX, my_custom_header_banner, my_plugin_enqueue_scripts

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новый вариант вредоносного ПО, нацеленный на WordPress, маскируется под легальный плагин, используя методы обфускации и такие возможности, как извлечение пароля и удаленное выполнение кода. Он выполняет команды через AJAX и требует взлома учетной записи администратора для активации, что указывает на зависимость от перехватчиков WordPress.
-----

Команда Wordfence по анализу угроз выявила новый вариант вредоносного ПО, нацеленного на WordPress, предназначенный для маскировки под законный плагин, который, в частности, появляется в каталоге /wp-content/plugins/. Эта вредоносная программа содержит комментарий к заголовку, имитирующий плагин WooCommerce Product Add-ons, который служит для сокрытия ее истинной природы и придания ей достоверного вида, хотя между вредоносной программой и реальным плагином WooCommerce нет никакой связи.

В ходе расследования было обнаружено, что это вредоносное ПО обладает рядом вредоносных возможностей, включая функцию извлечения пароля и механизм удаленного выполнения кода на основе AJAX. Примечательно, что оно использует функцию отражения для выполнения команд, которая улучшает распознавание поведения вредоносного ПО. Вредоносная программа структурирована таким образом, что к ней невозможно получить прямой доступ с помощью обычных средств, таких как страница плагинов, поскольку она выполняет проверку ABSPATH и использует функцию wp_get_current_user() для проверки среды WordPress перед выполнением своих вредоносных действий.

Более того, было обнаружено, что вредоносная программа вызывает системную команду с помощью post-запроса, что позволяет выполнять несанкционированное выполнение команды. Также имеется неполная функция, указывающая на продолжающуюся работу по разработке, что позволяет предположить, что хакеры, возможно, активно совершенствуют свои возможности. Кроме того, во время того же сеанса анализа был обнаружен второй образец вредоносного ПО, который использует аналогичную тактику обхода, но, по-видимому, менее полон по своей функциональности.

Наиболее вероятной причиной распространения этой вредоносной программы является взлом учетной записи администратора, поскольку для запуска кода требуется активация плагина, что указывает на зависимость от предоставленных в WordPress перехватчиков. К сожалению, отсутствие логов во время расследования ограничивало возможность подтверждения конкретных методов проникновения. Чтобы помочь в противодействии этим новым угрозам, Wordfence выпустила сигнатуры для обнаружения этого вредоносного ПО для пользователей премиум-класса, а для бесплатных пользователей запуск был запланирован на месяц позже. Вскоре после этого было введено правило брандмауэра для повышения безопасности пользователей премиум-класса. Эволюционирующий характер вредоносного ПО указывает на необходимость постоянной бдительности и обновления мер защиты от таких изощренных атак.

#ParsedReport #CompletenessMedium
05-06-2025

DragonForce: The Ransomware Cartel Guarding Its Burrow

https://www.bitdefender.com/en-us/blog/businessinsights/dragonforce-ransomware-cartel

Report completeness: Medium

Actors/Campaigns:
Dragonforce (motivation: hacktivism, financially_motivated)

Threats:
Dragonforce_ransomware
Ransomhub
Conti
Blackcat
Mamona
Akira_ransomware
Lockbit
Dll_hijacking_technique
Timestomp_technique
Simplehelp_tool

Industry:
Education, Retail, Healthcare

Geo:
Russians, Australia, Italy, Russia, Russian

CVEs:
CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 21.9, 21.12, 22.1)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21412 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1809 (<10.0.17763.5458)
- microsoft windows 10 21h2 (<10.0.19044.4046)
- microsoft windows 10 22h2 (<10.0.19045.4046)
- microsoft windows 11 21h2 (<10.0.22000.2777)
- microsoft windows 11 22h2 (<10.0.22621.3155)
have more...

TTPs:
Tactics: 8
Technics: 0

IOCs:
File: 4
Hash: 8

Soft:
Linux, ESXi

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DragonForce, хакер-вымогатель, выявленный в конце 2023 года, действует как картель, используя российскую инфраструктуру и нацеливаясь на различные секторы. Они используют известные уязвимости (CVE-2024-21412, CVE-2024-21887, CVE-2024-21893), используя продвинутые программы-вымогатели (dragonfroce.exe ), который выполняется различными методами и поддерживает постоянство с помощью запланированных задач. Их методы включают фишинг и стратегии "жизни за счет земли" с использованием законных инструментов, в то время как они управляют сайтом утечки данных для документирования жертв.
-----

DragonForce - это хакерская программа-вымогатель, которая эволюционировала от модели "Программа-вымогатель как услуга" (RaaS) к картелю программ-вымогателей. Созданная в конце 2023 года, группа отличилась в экосистеме программ-вымогателей, развивая партнерские связи и сосредоточившись на росте операционной деятельности. Хотя ходили слухи о связях с одноименной хактивистской группой из Малайзии, текущие разведданные указывают на то, что DragonForce, занимающаяся вымогательской деятельностью, скорее всего, базируется не там.

Работая в основном с инфраструктурой, связанной с Россией, DragonForce добилась значительных успехов, заявив о более чем 120 жертвах в различных секторах, включая производство, здравоохранение и технологии, к середине 2024 года. Их требования о выкупе стратегически рассчитываются на основе доходов целевой организации, которые иногда достигают 7 миллионов долларов. Их оперативная тактика заключается в развертывании передовых программ-вымогателей, нацеленных на системы Windows, Linux и ESXi, с использованием методов динамического шифрования, адаптированных к другим методам вымогательства. Примечательно, что они усовершенствовали свои возможности шифрования, переняв опыт других успешных действий программ-вымогателей.

В схемах атак DragonForce используются различные методы первоначального доступа, включая использование известных уязвимостей (таких как CVE-2024-21412, CVE-2024-21887 и CVE-2024-21893), фишинг и раскрытие учетных данных. Их программа-вымогатель, известная как dragonfroce.exe, может быть запущена различными способами, включая команды командной оболочки Windows и перехват библиотек DLL. Кроме того, группа поддерживает работоспособность взломанных систем с помощью запланированных задач и изменений настроек сценариев PowerShell.

Используя законные административные инструменты, такие как SimpleHelp, DragonForce смогла проникнуть в сети поставщиков управляемых услуг, используя методы "жизни за пределами земли", которые используют надежные приложения для своей работы. Этот метод становится все более популярным в кибератаках, поскольку исследования показали, что значительная часть критических атак использует такие методы. Программа-вымогатель также обладает такими возможностями, как удаление файлов, отслеживание времени и обход средств защиты, что еще больше подчеркивает ее изощренность.

Группа управляет сайтом по утечке данных, документируя своих жертв и похищенные материалы. Они известны тем, что публикуют обновления и вознаграждают партнеров высокой прибылью, отмечая, что они оказывают обширную инфраструктурную поддержку своим партнерам. Эта стратегия не только укрепляет их влияние на рынок программ-вымогателей, но и помогает контролировать ресурсы и осуществлять оперативный обмен с другими преступными сетями. По мере расширения группы сохраняются опасения относительно их растущих возможностей и сохраняющихся угроз для различных секторов.

#ParsedReport #CompletenessLow
05-06-2025

How a Malicious Excel File (CVE-2017-0199) Delivers the FormBook Payload

https://www.fortinet.com/blog/threat-research/how-a-malicious-excel-file-cve-2017-0199-delivers-the-formbook-payload

Report completeness: Low

Threats:
Formbook

CVEs:
CVE-2017-0199 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)
- microsoft windows 7 (-)
- microsoft windows server 2008 (-, r2)
- microsoft windows server 2012 (-)
- microsoft windows vista (-)
have more...

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1056.001, T1071.001, T1105, T1113, T1203, T1218.005, T1497.001, T1566.001, have more...

IOCs:
File: 1
Url: 3
Hash: 5

Soft:
Microsoft Office

Algorithms:
sha256, xor, base64

Win API:
IsDebuggerPresent

Languages:
autoit

#ParsedReport #ExtractedSchema

Classified images:
windows: 5, code: 3, dump: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Целью фишинговой кампании были устаревшие приложения Microsoft Office (2007-2016), использующие уязвимость CVE-2017-0199 для распространения вредоносного ПО FormBook с помощью вредоносных вложений Excel. Атака использует эксплойт OLE для запуска HTA-скрипта для загрузки полезной нагрузки, захвата конфиденциальных данных с помощью кейлоггинга и мониторинга буфера обмена.
-----

Компания FortiGuard Labs выявила масштабную фишинговую кампанию, использующую уязвимости в устаревших приложениях Microsoft Office. В частности, кампания нацелена на версии Office с 2007 по 2016 год, используя уязвимость CVE-2017-0199, которая связана с возможностями OLE (связывания и внедрения объектов) этих приложений. Основной целью этой кампании является распространение FormBook, вредоносного ПО для кражи информации, способного захватывать конфиденциальные данные, такие как учетные данные для входа в систему, нажатия клавиш и информацию из буфера обмена.

Фишинговые электронные письма, используемые в этой кампании, маскируются под заказы на продажу и содержат вредоносные вложения Excel. Когда пользователь открывает зараженный документ, он отправляет HTTP-запрос на удаленный сервер для загрузки вредоносного HTA-файла. При этом используется уязвимость CVE-2017-0199, которая приводит к загрузке и выполнению HTA-скрипта с помощью приложения Microsoft HTA (mshta.exe). Хотя официальные исправления доступны уже много лет, многие организации остаются уязвимыми из-за сбоев в обновлении программного обеспечения, несогласованного применения исправлений или неадекватных мер безопасности.

Проанализировав образцы вредоносного ПО, исследователи отметили, что вредоносное ПО FormBook встроено в запись данных ресурса с надписью "SCRIPT". Из содержания этого раздела следует, что оно может быть сгенерировано с помощью сценариев AutoIt, которые включают методы защиты от отладки с использованием IsDebuggerPresent API. Если обнаружена отладка, в примере будет просто указано, что это скомпилированный сторонними разработчиками сценарий автоматической загрузки.

Весь процесс, следующий за запуском вредоносного файла Excel, включает загрузку и выполнение команды "sihost.exe", которая впоследствии извлекает "springmaker" – промежуточную полезную нагрузку, которая в конечном итоге приводит к доставке FormBook. Последствия этой кампании серьезны, поскольку она позволяет злоумышленникам компрометировать пользовательские устройства и извлекать конфиденциальную информацию, что подчеркивает острую необходимость проявлять бдительность в отношении протоколов безопасности электронной почты и управления исправлениями программного обеспечения для устранения таких угроз.

#ParsedReport #CompletenessLow
05-06-2025

Mandiant Exposes Salesforce Phishing Campaign as Infostealer Malware Emerges as a Parallel Threat

https://www.infostealers.com/article/mandiant-exposes-salesforce-phishing-campaign-as-infostealer-malware-emerges-as-a-parallel-threat/

Report completeness: Low

Actors/Campaigns:
Gehenna

Threats:
Azorult
Lumma_stealer
Amos_stealer
Allakore_rat
Meduza
Meta_stealer
Raccoon_stealer
Redline_stealer
Stealc
Vidar_stealer

Victims:
Coca-cola, Tiffany & co., Adidas, Samsung, Royal mail, Osf digital, Tiffany employees, Adidas vendor, Salesforce users

Industry:
E-commerce

Geo:
Korea

ChatGPT TTPs:
do not use without manual check
T1078, T1185, T1555.003

Soft:
Twitter, macOS

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1, table: 1, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Компания Mandiant сообщила о вредоносной кампании, нацеленной на аккаунты Salesforce, в ходе которой злоумышленники выдавали себя за сотрудников ИТ-службы поддержки, чтобы получить коды MFA для утечки данных. Кроме того, вредоносное ПО Infostealer используется для сбора учетных данных, предоставляя долгосрочный доступ к скомпрометированным платформам. Недавние взломы в Coca-Cola и других компаниях иллюстрируют растущий риск для CRM-систем, связанный как с социальной инженерией, так и с вредоносными программами.
-----

Компания Mandiant сообщила о сложной кампании с использованием голосового фишинга, или вишинга, для получения несанкционированного доступа к учетным записям Salesforce. Злоумышленники, выдававшие себя за сотрудников ИТ-службы поддержки, успешно обманывали жертв, заставляя их раскрывать коды многофакторной аутентификации, тем самым компрометируя среду Salesforce и впоследствии извлекая конфиденциальные данные в целях вымогательства. Эта операция подчеркивает тревожную тенденцию в киберпреступности, когда хакеры все чаще нацеливаются на облачные платформы для управления взаимоотношениями с клиентами (CRM), такие как Salesforce.

Наряду с выводами Mandiant, исследование, проведенное компанией Hudson Rock, привлекло внимание к вредоносному ПО Infostealer как к альтернативному способу доступа злоумышленников к этим ценным платформам. В отличие от методов фишинга в режиме реального времени, инфокрады могут незаметно собирать учетные данные и сеансовые файлы cookie с зараженных компьютеров, предоставляя долгосрочный доступ даже после первоначального заражения. Hudson Rock выявил многочисленные скомпрометированные учетные данные, связанные с Salesforce, подчеркнув значительный риск, который представляют тысячи компаний из-за заражения этими вредоносными программами.

Конкретные случаи демонстрируют последствия таких угроз. Например, Gehenna group взяла на себя ответственность за кражу 64 гигабайт клиентских данных из Coca-Cola, используя учетные данные, полученные в результате заражения Azorult Infostealer, которое произошло в августе 2020 года. Хотя Coca-Cola не подтвердила метод взлома, характер предыдущих атак позволяет предположить, что они основывались на учетных данных из журналов Infostealer. Аналогичным образом, нарушение, обнаруженное Tiffany & Co. в мае 2025 года, указывало на несанкционированный доступ к сторонней платформе управления, вероятно, Salesforce Commerce Cloud, связанной с сотрудником, зараженным Lumma Infostealer. Это заражение скомпрометировало большое количество учетных данных, связанных с инфраструктурой Salesforce компании Tiffany.

Взлом Adidas также подчеркивает риск, связанный с компрометацией поставщиков: Hudson Rock отмечает, что в журналах Infostealer было обнаружено 88 скомпрометированных учетных данных, связанных со средой Salesforce Adidas. Эти случаи отражают более широкую тему: по мере того как CRM-системы, такие как Salesforce, становятся все более интегрированными в бизнес-процессы, киберпреступники становятся все более агрессивными. Простота получения действительных учетных данных CRM с помощью вредоносного ПО позволяет злоумышленникам обходить традиционные методы фишинга, что приводит к потенциально серьезным нарушениям.

Результаты исследования показывают, что тактика социальной инженерии, использованная в кампании Mandiant, и скрытый постоянный риск, связанный с вредоносным ПО Infostealer, представляют собой две угрозы, от которых организации должны тщательно защищаться. Оба метода доступа представляют значительные риски, и пренебрежение любым из них может привести к существенной потере данных. Исторические случаи заражения, описанные в этих нарушениях, иллюстрируют, как скрытые угрозы могут быть восстановлены для использования уязвимостей, подчеркивая необходимость принятия комплексных мер безопасности, которые эффективно борются как с социальной инженерией, так и с вредоносными программами.

#ParsedReport #CompletenessHigh
04-06-2025

The Bitter End: Unraveling Eight Years of Espionage AnticsPart One

https://www.proofpoint.com/us/blog/threat-insight/bitter-end-unraveling-eight-years-espionage-antics-part-one

Report completeness: High

Actors/Campaigns:
Bitter (motivation: cyber_espionage)
Mysterious_elephant
Apt59

Threats:
Spear-phishing_technique
Artradownloader
Grimresource_technique
Wmrat
Miyarat
Havoc
Kugelblitz
Bdarkrat
Orpcbackdoor

Industry:
Financial, Maritime, Government, Energy, Military

Geo:
Turkish, America, Asia, Mauritius, China, Bangladesh, Asian, Chinese, Pakistan, India, Madagascar, Korea, Indian

CVEs:
CVE-2024-43572 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20796)
- microsoft windows 10 1607 (<10.0.14393.7428)
- microsoft windows 10 1809 (<10.0.17763.6414)
- microsoft windows 10 21h2 (<10.0.19044.5011)
- microsoft windows 10 22h2 (<10.0.19045.5011)
have more...

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1041, T1053.005, T1059.001, T1059.003, T1071.001, T1095, T1105, T1190, T1204.002, have more...

IOCs:
File: 16
Domain: 8
Command: 7
Url: 13
IP: 1
Hash: 10

Soft:
ProtonMail, Android, curl, Ubuntu, LiteSpeed, confluence, Microsoft Access

Algorithms:
exhibit, sha256, zip

Functions:
Get-Content

Languages:
powershell, php

Links:
https://github.com/EmergingThreats/threatresearch/blob/master/ta397/ta397.csv

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 1, chart: 5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TA397 - поддерживаемый государством хакер, связанный с индийской разведкой, нацеленный на правительственные и оборонные структуры в Европе и Азии. Они внедряют вредоносное ПО с помощью фишинга и используют запланированные задачи с различными типами файлов для доставки полезной нагрузки, используя CVE-2024-43572. Их деятельность отражает систематический подход к шпионажу, который со временем адаптирует методы и интегрирует такие инструменты, как Kugelblitz, сохраняя при этом согласованную структуру инфраструктуры.
-----

TA397 идентифицирован как хакер, поддерживаемый государством, который, вероятно, действует от имени индийских спецслужб и занимается сбором разведданных, уделяя основное внимание правительственным и оборонным структурам в Европе и Азии, особенно тем, которые связаны с Китаем, Пакистаном и соседними странами. Оперативная деятельность группы характеризуется предсказуемой методологией, включая использование электронных писем для шпионажа в качестве основного средства получения первоначального доступа. Хотя возможности TA397 не так велики по сравнению с другими действующими лицами, поддерживаемыми государством, группа демонстрирует высокий уровень активности и креативности в своей оперативной тактике.

Со временем TA397 адаптировал свои технологии, перейдя от использования известных CVE к использованию запланированных задач для доставки полезной нагрузки. Современные методологии включают использование различных типов файлов, таких как архивы MSC, LNK, CHM и RAR, для создания запланированных задач, которые облегчают дальнейшее развертывание вредоносного ПО. Эти задачи предназначены для скрытого выполнения команд, загрузки полезной нагрузки и регулярного мониторинга систем-жертв, что позволяет использовать скрытые типы файлов, такие как файлы MSC, для задания запланированных задач для выполнения в PowerShell. Кампании группы были нацелены на организации, специализирующиеся на дипломатических и военных вопросах, и привязывали тематику фишинговых электронных писем к актуальным геополитическим событиям, чтобы повысить эффективность их использования для обмана.

Вредоносное ПО, используемое TA397, включая такие инструменты, как Kugelblitz и различные RATs, еще раз демонстрирует их изощренность в работе. Их инфраструктура отличается высокой степенью достоверности — она была выбрана благодаря последовательным схемам, включая структурированное использование URI на PHP, содержащих имя компьютера и логин жертвы, и использование сертификатов Let's Encrypt на их серверах. Эти факторы позволяют надежно обнаруживать действия TA397. Анализ временных меток их операций в основном соотносится с индийским стандартным временем, что подтверждает оценку их географических и временных характеристик.

Уязвимости, используемые TA397, включают CVE-2024-43572, известную как GrimResource, которая позволяет удаленно выполнять код в контексте mmc.exe, что они активно использовали в недавних кампаниях. Примечательно, что они исторически полагались на вредоносные программы, такие как ArtraDownloader, хотя недавние инновации включают интеграцию новых методов доставки последующих полезных загрузок после первоначального заражения.

В конечном счете, TA397 является примером настойчивого хакера, который сочетает систематические методы шпионажа с постоянно развивающимся набором инструментов и подходов. Их стратегии нацеливания основаны на глубоком понимании геополитических условий и оперативной безопасности, что делает их важным игроком в сфере государственного кибершпионажа. Их инфраструктура частично совпадает с инфраструктурой других известных индийских хакеров, что свидетельствует о совместной работе по сбору разведданных в рамках операций, проводимых при поддержке государства. Такая интеграция усилий различных групп подчеркивает общие цели кибершпионажа в Южной Азии, особенно в вопросах национальной безопасности и дипломатической значимости.

#ParsedReport #CompletenessLow
05-06-2025

Fake WordPress Caching Plugin Used to Steal Admin Credentials

https://blog.sucuri.net/2025/06/fake-wordpress-caching-plugin-used-to-steal-admin-credentials.html

Report completeness: Low

Victims:
Wordpress sites

Geo:
Hong kong

TTPs:

ChatGPT TTPs:
do not use without manual check
T1036, T1041, T1140, T1195.002, T1564.006

IOCs:
File: 2
Url: 1
Domain: 1

Soft:
WordPress, Linux

Algorithms:
base64

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4