#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники используют сайты WordPress, загружая вредоносные плагины, такие как "wp-runtime-cache", которые крадут учетные данные администратора. Этот плагин содержит запутанный PHP-код, активируется при входе в систему и передает пользовательские данные на внешние серверы, выявляя критические уязвимости в системе безопасности WordPress. Регулярные проверки и надежные методы обеспечения безопасности необходимы для устранения этих угроз.
-----

Недавние инциденты продемонстрировали тревожную тенденцию среди киберпреступников, которые эксплуатируют сайты WordPress, загружая вредоносные плагины, которые могут служить различным гнусным целям, включая кражу учетных данных администратора. Одна конкретная угроза была связана с плагином под названием "wp-runtime-cache", найденным в каталоге wp-content/plugins, который изначально казался безобидным из-за его функции кэширования, обычно используемой для оптимизации производительности. Однако отсутствие стандартных опций управления кэшем и отсутствие плагина в списке плагинов администратора вызвали подозрения в его злом умысле.

В результате расследования было обнаружено, что wp-runtime-cache содержит только один PHP-файл, что нетипично для легальных плагинов, которые обычно содержат несколько файлов. Ключевыми признаками вредоносного поведения были пустые поля для описания плагина, автора и URL-адреса службы поддержки в сочетании с наличием запутанного кода, использующего кодировку base64 и имена случайных переменных. Особую тревогу вызвала функция под названием "infiltrateDocumentStore0460", предполагающая намерение тайно проникнуть в системный контент — что-то без законного обоснования в действующих плагинах.

Каждый раз, когда страница загружается, вредоносное ПО активируется в среде сайта, особенно во время сеансов входа в систему с помощью wp-администратора. Вредоносное ПО собирает регистрационные данные пользователя и оценивает возможности вошедшего в систему пользователя в соответствии с предопределенными ролями. Эта функциональность выполняется с помощью встроенной функции WordPress wp_remote_post, которая передает массивы данных на внешние серверы, тем самым облегчая извлечение данных злоумышленниками. Кроме того, функция с именем "detachConcurrency0788" проверяет наличие предварительно сгенерированного хэш-значения, чтобы отличать законных пользователей от злоумышленников. Если злоумышленник идентифицирован, плагин остается видимым; в противном случае он скрывается из списка плагинов, сохраняя скрытность.

При отслеживании домена, связанного с этой вредоносной активностью, в последних регистрационных данных были обнаружены расхождения, свидетельствующие о тактике злоумышленников — домен зарегистрирован в Арканзасе, но привязан к телефонному коду Гонконга, что свидетельствует о намеренной попытке избежать обнаружения. Полученные данные указывают на критические уязвимости, возникающие, когда злоумышленники получают безопасный доступ к сайту, используя скрытые вредоносные действия для сбора учетных данных администратора и передачи этих данных на внешние серверы для дальнейшего использования.

Следовательно, регулярные проверки плагинов и пользователей становятся обязательными для обслуживания веб-сайта, наряду с такими рекомендациями, как поддержание обновленных паролей администратора, использование двухфакторной аутентификации и применение ограничений IP на странице входа в WordPress, которые могут предотвратить несанкционированный доступ. В случае любой компрометации, связанной с учетными данными администратора, ключевой мерой противодействия является обновление настроек WordPress, содержащихся в файле wp-config.php, чтобы защитить данные для входа в систему от повторной компрометации с помощью ранее полученных хэшированных паролей. Эти меры предосторожности жизненно важны для повышения безопасности установок WordPress от возникающих угроз.

#ParsedReport #CompletenessLow
05-06-2025

Decoding ClickFix: Lessons from the Latest Browser-Based Phish

https://slashnext.com/blog/decoding-clickfix-lessons-from-the-latest-browser-based-phish/

Report completeness: Low

Threats:
Clickfix_technique
Fakecaptcha_technique
Clipboard_injection_technique
Lumma_stealer
Stealc
Netsupportmanager_rat

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1071.001, T1140, T1204.001, T1566, T1566.002

IOCs:
File: 2

Soft:
Cloudflare Turnstile

Algorithms:
base64

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ClickFix - это фишинговый метод, который имитирует законный процесс проверки безопасности, заставляя пользователей выполнять вредоносные команды PowerShell с помощью поддельной капчи. Он использует тактику обфускации и социальной инженерии, чтобы использовать "усталость от проверки", в результате чего жертвы непреднамеренно устанавливают вредоносное ПО, обходя традиционные меры безопасности.
-----

ClickFix - это новый метод социальной инженерии фишинга, который заставляет пользователей выполнять вредоносные команды на своих устройствах, маскируясь под законный процесс проверки безопасности. Атака часто принимает форму поддельной капчи, напоминающей такие сервисы, как Turnstile от Cloudflare, и убеждает жертв вставлять и запускать вредоносный код, не осознавая присущего им риска. Когда пользователи сталкиваются с этим мошенническим интерфейсом, они приходят к выводу, что им необходимо убедиться в своей человечности, выполнив шаги по обеспечению безопасности. Однако за кулисами при разработке атаки используется сценарий, который незаметно вводит вредоносную команду в буфер обмена пользователя.

На практике, как только пользователь взаимодействует с установленным флажком, ему предлагается выполнить команду в диалоговом окне запуска Windows, нажав Windows+R и используя Ctrl+V, чтобы вставить встроенную команду PowerShell, а затем нажать Enter. Эта команда, которая часто представляет собой простую строку кода, обычно извлекает и запускает вредоносные программы второго этапа, минуя традиционную проверку антивирусом и запросы на загрузку. Пользователь невольно становится инициатором установки вредоносного ПО, что значительно повышает эффективность атаки.

Фишинговая страница ClickFix сама по себе представляет собой автономный HTML-файл, который воспроизводит внешний вид законного интерфейса Cloudflare. Злоумышленники часто запутывают код, чтобы замаскировать его вредоносную функциональность, и используют различные методы для поддержания иллюзии легитимности, такие как генерация случайных идентификаторов Cloudflare Ray и настройка доменных имен. Эта путаница скрывает встроенную команду PowerShell, которая обычно кодируется во избежание обнаружения. Когда пользователи выполняют поддельные шаги проверки, их, по сути, обманом заставляют запускать законные утилиты Windows с вредоносной полезной нагрузкой, что позволяет избежать проверки со стороны средств веб-безопасности.

Несмотря на свою простоту, ClickFix использует феномен, известный как "усталость от проверки", при котором современные интернет-пользователи вынуждены быстро выполнять запросы, с которыми они регулярно сталкиваются. Злоумышленники используют этот психологический фактор, отправляя фишинговые страницы с, казалось бы, безобидных URL-адресов или даже с взломанных законных сайтов. Отсутствие быстро обнаруживаемых предупреждающих знаков, таких как загрузка файлов или необычные приглашения, создает у пользователей ложное чувство безопасности, способствуя успеху атак с помощью ClickFix.

По мере развития ClickFix традиционные меры безопасности могут с трудом поспевать за ними. Тактика, используемая в этих кампаниях, подчеркивает необходимость тщательного соблюдения мер безопасности, особенно при распознавании обманчивой природы таких методов социальной инженерии. Понимание механизма, лежащего в основе таких атак, как ClickFix, имеет решающее значение для разработки эффективных контрмер и повышения осведомленности пользователей о потенциальных рисках.

#ParsedReport #CompletenessMedium
05-06-2025

DuplexSpy RAT: Stealthy Windows Malware Enabling Full Remote Control and Surveillance

https://www.cyfirma.com/research/duplexspy-rat-stealthy-windows-malware-enabling-full-remote-control-and-surveillance/

Report completeness: Medium

Threats:
Duplexspy_rat
Process_injection_technique
Dll_sideloading_technique
Dll_injection_technique

TTPs:
Tactics: 9
Technics: 34

IOCs:
File: 13
Registry: 1
Hash: 2

Soft:
Windows Registry, MariaDB, Microsoft SQL Server, MySQL, Redis, Linux, Ubuntu, Visual Studio, Chrome, Firefox, Active Directory, have more...

Algorithms:
aes, cbc, base64

Functions:
Main, Connect, BringToFront, Activate, Windows, UAC, LoadToMemory

Win API:
SetSuspendState, OpenProcess, VirtualAllocEx, WriteProcessMemory, CreateRemoteThread, GetCurrentProcess

Languages:
java, python, php, perl, javascript, powershell

Platforms:
cross-platform

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DuplexSpy RAT - это троян для удаленного доступа с возможностью регистрации нажатий клавиш, захвата экрана, доступа к веб-камере и аудиозаписи. Он использует методы сохранения данных, такие как изменение реестра и внедрение DLL-библиотеки, для скрытности, а также имеет командную оболочку для выполнения команд в режиме реального времени. Его бесфайловые технологии позволяют ему избегать обнаружения, что требует повышения осведомленности о безопасности и средств защиты.
-----

DuplexSpy RAT - это многогранный троян для удаленного доступа (RAT), предназначенный для наблюдения за зараженными системами и контроля над ними. Его возможности включают регистрацию нажатий клавиш, захват экрана, доступ к веб-камере, аудиозапись и удаленное выполнение командной строки. RAT известен своими стратегиями сохранения, использующими методы, которые включают копирование самого себя в папку автозагрузки и изменение реестра Windows для обеспечения автоматического запуска при запуске системы. В частности, он добавляет запись с именем "Центр обновления Windows" в разделе HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, имитируя законный процесс Windows, чтобы избежать подозрений пользователя.

Компонент keylogger перехватывает ввод с клавиатуры низкого уровня с помощью перехватчика Windows, фиксирует нажатия клавиш и сохраняет их во временном RTF-файле. Этот файл периодически отправляется на удаленный сервер, зашифрованный для скрытности с использованием протоколов AES и RSA. Кроме того, DuplexSpy использует внедрение библиотеки DLL для выполнения кода в памяти, используя различные функции Windows API для динамической загрузки вредоносных сборок, не оставляя следов на диске, что расширяет возможности скрытности.

DuplexSpy включает в себя бэкдор командной оболочки, который позволяет выполнять команды на компьютере жертвы в режиме реального времени. Вредоносная программа отправляет и получает закодированные команды на свой сервер управления (C2) и с него и может выполнять системные команды, такие как завершение работы или перезапуск, тем самым нарушая доступность системы. RAT оснащен модулем защиты от процессов, который постоянно отслеживает наличие программного обеспечения безопасности, завершая все процессы, которые соответствуют предопределенному черному списку, для поддержания контроля над системной средой.

Кроме того, DuplexSpy включает в себя класс AudioPlayer, который позволяет вести аудионаблюдение путем воспроизведения звуков или использования микрофона устройства для записи, что представляет собой расширенные возможности в области психологических манипуляций и сбора информации. Класс Webcam обеспечивает непрерывную потоковую передачу видеоматериалов, превращая зараженное устройство в инструмент наблюдения.

Функциональность графического интерфейса вредоносного ПО позволяет злоумышленникам настраивать свою полезную нагрузку с минимальными техническими знаниями. Его открытый исходный код, созданный в образовательных целях, но активно используемый злоумышленниками, способствует росту популярности удобных в использовании модульных вредоносных программ, которые представляют значительный риск для отдельных лиц и организаций.

Внедрение бесфайловых технологий позволяет DuplexSpy избегать обнаружения с помощью традиционных средств защиты, что делает важными механизмы проактивной защиты. По мере развития ситуации с угрозами потенциал таких продвинутых RAT в обход традиционных средств защиты подчеркивает необходимость повышения осведомленности пользователей и разработки многоуровневых стратегий защиты от изощренных хакеров.

#ParsedReport #CompletenessLow
05-06-2025

Android Spyware Alert! Fake government app targeting Android users in India!

https://labs.k7computing.com/index.php/android-spyware-alert-fake-government-app-targeting-android-users-in-india/

Report completeness: Low

Industry:
Government

Geo:
India

ChatGPT TTPs:
do not use without manual check
T1036.005, T1406, T1407, T1410, T1417, T1420, T1433

IOCs:
File: 2
Hash: 8

Soft:
Android, Apktool, Twitter

#ParsedReport #ExtractedSchema

Classified images:
code: 2, windows: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новая вредоносная программа для Android, выдающая себя за приложение "PM KISAN YOJNA", использует многоступенчатый дроппер для развертывания полезной нагрузки для кражи данных, обходя меры безопасности и предлагая пользователям включить VPN для утечки данных. Также появляется вариант под названием "Сальвадор", что указывает на постоянную эволюцию тактики хакеров.
-----

В недавних отчетах о телеметрии была обнаружена новая вредоносная программа для Android, замаскированная под официальное приложение "PM KISAN YOJNA". Эта вредоносная программа работает как дроппер, способный размещать дополнительную полезную нагрузку, которая выполняет функции перехватчика, предназначенного для извлечения конфиденциальной информации пользователя. Примечательно, что вредоносная программа использует многоступенчатую технологию дроппинга, намеренно искаженную в своей конструкции, чтобы обойти традиционные меры безопасности. Это включает в себя успешный обход методов статического анализа и декомпиляции APK, используемых такими инструментами, как Apktool и Jadx, что усложняет процесс анализа для экспертов по кибербезопасности.

После установки вредоносная программа предлагает пользователям загрузить "обновление", которое запрашивает разрешения на установку VPN-соединения. Обоснование этого запроса заключается в том, что "PM KISAN YOJNA" необходимо настроить VPN для управления сетевым трафиком. Такая тактика, вероятно, служит злоумышленной цели - обеспечить возможность утечки данных. Если пользователи подтверждают это подключение, им предлагается разрешить установку из неизвестных источников, что облегчает дальнейшие действия вредоносного ПО. Впоследствии он подключается к серверам управления (C2) без ведома пользователя и имеет возможность получать доступ к этим серверам и отправлять на них SMS-сообщения. На момент проведения анализа указанный сервер C2 был отключен.

Новая разновидность этой вредоносной программы, получившая название "Salvador", также находится на подъеме, что указывает на то, что хакеры постоянно совершенствуют свои стратегии, чтобы имитировать законные приложения, избегать обнаружения и расширять возможности кражи данных. Чтобы снизить риски, связанные с такими сложными угрозами, пользователям настоятельно рекомендуется воздерживаться от загрузки приложений из неофициальных источников и следить за тем, чтобы их устройства регулярно обновлялись и исправлялись. Кроме того, использование надежных решений для обеспечения безопасности может помочь защититься от новых тактик, используемых киберпреступниками.

#ParsedReport #CompletenessHigh
05-06-2025

TTPs of Cyber Partisans activity aimed at espionage and disruption

https://ics-cert.kaspersky.com/publications/reports/2025/06/05/ttps-of-cyber-partisans-activity-aimed-at-espionage-and-disruption/

Report completeness: High

Actors/Campaigns:
Cyber_partisans (motivation: cyber_criminal, cyber_espionage, hacktivism)
It_army (motivation: hacktivism)
C0met (motivation: hacktivism)

Threats:
Dnscat2_tool
Vasilek
Pryanik
Byovd_technique
Zemana_tool
Credential_stealing_technique
Mimikatz_tool
Powersploit
Metasploit_tool
Remcom_tool
Psexec_tool
Trojan.win64.agent.qwkbkz
Trojan.win32.agentb.lnij
Trojan.win32.agent.gen
Trojan.win64.agent.qwkciw
Trojan.win32.agent.xbnfrj
Trojan.win32.agent.ildg
Trojan.win64.agentb.kyfw
Zapchast
Trojan.win64.agentb.kyfv
Trojan.win64.agent.qwkswp
Trojan.win32.agent.xbdvtb
Trojan.win32.agent.ildf
Kryptik
Trojan.win32.agentb.live
Trojan.win32.agentb.lnii
Trojan.win32.agentb.miyo

Victims:
Government agencies, Industrial enterprises, Fertilizer production plant

Industry:
Energy, Government, Ics

Geo:
Ukraine, Belarus, Russia, Ukrainian

CVEs:
CVE-2021-31728 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- malwarefox antimalware (2.74.0.150)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1001, T1003.001, T1007, T1021.001, T1021.002, T1033, T1036.005, T1041, T1047, T1053.005, have more...

IOCs:
Path: 35
Registry: 3
File: 26
Command: 1
Domain: 12
Hash: 82
IP: 1

Soft:
Telegram, Windows service, Internet Explorer, elegram ch, egram chat, TightVNC, PSExec, Sysinternals, 3proxy

Algorithms:
salsa20, md5, ecdh, sha256

Functions:
getUpdates, Vasilek

Win API:
CreateProcessA

Languages:
powershell

Platforms:
x86, x64

Links:
https://ics-cert.kaspersky.com/away?url=https%3A%2F%2Fgithub.com%2F3proxy%2F3proxy%2Freleases&hs=6f4922f45568161a8cdf4ad2299f6d23
https://ics-cert.kaspersky.com/away?url=https%3A%2F%2Fgithub.com%2Fiagox86%2Fdnscat2&hs=6f4922f45568161a8cdf4ad2299f6d23
https://ics-cert.kaspersky.com/away?url=https%3A%2F%2Fgithub.com%2Frsmudge%2Fvncdll&hs=6f4922f45568161a8cdf4ad2299f6d23
have more...

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, code: 11, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпартизаны атакуют российские и белорусские правительственные и промышленные предприятия, используя новый бэкдор под названием Vasilek, который взаимодействует через Telegram вместо традиционных C& C серверов. Они используют методы фишинга с помощью таких инструментов, как DNSCat2 для удаленного доступа и бокового перемещения, а также используют вредоносное ПО Pryanik, которое использует уязвимость Zemana для удаления журналов. Их сложный подход включает в себя сбор учетных данных с помощью Mimikatz и скрытное выполнение полезной нагрузки, что затрудняет обнаружение и указывает на меняющийся ландшафт угроз в политически чувствительных областях.
-----

Хакерская группа Cyber Partisans атакует правительственные учреждения и промышленные предприятия в России и Беларуси. Они внедрили бэкдор под названием Vasilek, который взаимодействует через специальную группу в Telegram вместо традиционных C&C серверов. Переносчиками заражения являются фишинговые электронные письма, выдающие себя за законных установщиков программного обеспечения, таких как FortiClient VPN, который устанавливает утилиту под названием DNSCat2. DNSCat2 позволяет осуществлять удаленное управление с помощью обфускации сети по протоколу DNS, минуя стандартные меры сетевой безопасности. После выполнения DNSCat2 распаковывается в системном каталоге с использованием уникального ключа дешифрования, полученного из имени хоста скомпрометированной системы, и использует усовершенствованный обфускатор для сохранения полезной нагрузки в зашифрованном виде до выполнения. Группа также использует вредоносную программу-очиститель под названием Pryanik, которая представляет собой логическую бомбу замедленного действия, использующую уязвимость (CVE-2021-31728) в Zemana Anti-Malware для получения повышенных привилегий, завершения процессов обеспечения безопасности и удаления журналов событий перед выполнением процедур перезаписи данных. Для обеспечения широкого доступа используются инструменты сбора учетных данных, такие как Mimikatz, которые используют передовые технологии для выполнения полезной нагрузки в памяти, минуя обнаружение диска. Они используют инструменты удаленного управления и прокси-серверы для управления, сохраняя анонимность. Vasilek усложняет обнаружение, поскольку запускается только в системах определенных жертв и проверяет имена хостов на наличие хэшей, чтобы избежать аварийных сигналов. Злоумышленники поддерживают постоянство с помощью нескольких инструментов доступа на уровне администратора и продвинутых утилит туннелирования, таких как GOST и 3proxy, для маскировки сетевого трафика.

#ParsedReport #CompletenessHigh
05-06-2025

Operation Phantom Enigma

https://global.ptsecurity.com/analytics/pt-esc-threat-intelligence/operation-phantom-enigma

Report completeness: High

Actors/Campaigns:
Phantom_enigma

Threats:
Pdq_connect_tool
Camellia_loader
Meshcentral_tool
Meshagent_tool
Spear-phishing_technique
Lolbin_technique
Trojan.win32.recon.c
Trojan.win32.powaunch.a
Remoteadmin_tool
Screenconnect_tool

Victims:
Banco do brasil users, Companies

Industry:
Financial, Government

Geo:
Portuguese, Brazil, Brasil, Brazilian, German, Latin america

TTPs:
Tactics: 8
Technics: 0

IOCs:
Hash: 65
Command: 5
File: 46
IP: 4
Registry: 4
Coin: 1
Path: 1

Soft:
Windows Installer, Google Chrome, Chrome, Microsoft Edge, curl, Linux, macOS, Gmail, Google Chrome, Microsoft Edge

Functions:
Write-Most, killBrowsers, getUserDirectories, s, Get-WmiObject

Win API:
Messagebox

Languages:
php, javascript, powershell

Platforms:
arm, mips

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В начале 2025 года в ходе кибератаки на бразильских пользователей были использованы фишинговые электронные письма, которые привели к появлению вредоносного расширения Chrome, которое перехватывало банковские данные. Злоумышленники использовали скрипт BAT для запуска сценария PowerShell, который отключал контроль учетных записей и подключался к серверу C2, а также использовали Mesh Agent для удаленного доступа.
-----

В начале 2025 года в ходе расследования, проведенного экспертным центром безопасности Positive Technologies, была выявлена кампания кибератак, нацеленная в первую очередь на пользователей в Бразилии. Атака началась с фишинговых электронных писем, замаскированных под счета-фактуры, которые побуждали пользователей загружать файлы с подозрительного веб-сайта. Первоначально обнаруженный метод включал вредоносное расширение для браузера Google Chrome, но в одном из вариантов атаки вместо него использовался Mesh Agent или PDQ Connect Agent.

Ключевыми элементами атаки был скрипт BAT, предназначенный для загрузки и выполнения вредоносного скрипта PowerShell. Сценарий PowerShell был разработан для отключения контроля учетных записей пользователей (UAC) в системах-жертвах и установления соединения с сервером управления (C2), расположенным по IP-адресу 142.54.185.178. Кроме того, злоумышленники использовали MSI-файл для установки вредоносного расширения в нескольких браузерах, включая Microsoft Edge, Google Chrome и Brave. Процесс установки включал в себя два основных исполняемых действия, приводящих к выполнению запутанного JavaScript, который связывался с сервером C2 по адресу enota.clientepj.com.

Вредоносное расширение Chrome состояло из нескольких файлов JavaScript и манифеста, предназначенного для взаимодействия с веб-страницами, связанными с Banco do Brasil. Примечательно, что код включал функции для сбора конфиденциальной пользовательской информации, что позволяет предположить, что злоумышленники нацеливались на аутентификационные данные, связанные с банковскими услугами. Использование немецкого и португальского языков в коде указывает на возможные региональные предпочтения или влияние на злоумышленников. Кроме того, были встроены ссылки на сервер финансового управления, что позволило расширить возможности удаленного управления.

Наряду с браузерным расширением была обнаружена вредоносная программа Mesh Agent, которая характеризуется способностью устанавливать удаленный доступ к устройствам и подключаться к серверам MeshCentral для управления устройствами. Фишинговая кампания использовала аналогичные мошеннические стратегии рассылки по электронной почте для распространения RAT. Злоумышленники использовали доступ к скомпрометированным организациям для облегчения распространения этих вредоносных электронных писем, в результате чего было идентифицировано около 70 уникальных организаций-жертв.

Анализ выявил двойственную угрозу, исходящую от кампании, поскольку как программы-вымогатели нацелены на личные аккаунты, так и RATs, которые позволяют более широко проникать в инфраструктуру организаций. Этот инновационный подход подчеркивает эволюцию тактики киберпреступности, включая использование уникальных методологий, характерных для латиноамериканского региона. Поскольку основное внимание в рамках кампании по-прежнему уделялось незаконному получению конфиденциальной банковской информации от частных лиц, постоянный мониторинг этой вредоносной деятельности имеет жизненно важное значение для будущих стратегий предотвращения и смягчения последствий.

#ParsedReport #CompletenessMedium
04-06-2025

AIVD and MIVD identify new Russian cyber threat actor

https://www.aivd.nl/binaries/aivd_nl/documenten/publicaties/2025/05/27/aivd-en-mivd-onderkennen-nieuwe-russische-cyberactor/Advisory+AIVD+en+MIVD+Public+report+on+new+cyber+actor.pdf

Report completeness: Medium

Actors/Campaigns:
Void_blizzard (motivation: cyber_espionage)
Fancy_bear

Threats:
Supply_chain_technique
Lolbin_technique
Password_spray_technique
Spear-phishing_technique
Residential_proxy_technique

Victims:
Dutch police, Government organisations, Defence contractors, Social organisations, Cultural organisations, Digital service providers, Commercial entities, Eu institutions, Nato defence ministries, Aerospace firms, have more...

Industry:
Education, Aerospace, Government, Military, Critical_infrastructure, Ngo, E-commerce

Geo:
Russian, Netherlands, Ukraine, Dutch, Russia

TTPs:
Tactics: 5
Technics: 8

Soft:
Microsoft Exchange, Outlook, Office 365

Algorithms:
base64

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4