#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Chaos RAT - это троян для удаленного доступа, предназначенный для Linux и Windows, использующий критическую уязвимость для удаленного выполнения кода. Он распространяется с помощью фишинговых сообщений электронной почты, имеет механизмы сохранения и использует команды двух операционных систем для выполнения операций. Открытый исходный код Chaos RAT, недостатки в его серверной части и низкий уровень обнаружения вызывают опасения по поводу его использования APT-группами.
-----

Появились новые варианты троянской программы удаленного доступа Chaos RAT, нацеленной как на Linux, так и на Windows. В веб-панели программы имеется критическая уязвимость, которая позволяет выполнять произвольный удаленный код на сервере. Chaos RAT распространяется в основном через фишинговые электронные письма с вредоносными ссылками или вложениями. Он изменяет системный планировщик задач для обеспечения постоянства, позволяя обновлять полезную нагрузку без физического доступа. Последний вариант был распространен в виде сжатого файла, замаскированного под утилиту для устранения неполадок в сети, предназначенную для пользователей Linux. Chaos RAT, разработанный в Golang, обладает кроссплатформенной поддержкой и административной панелью для управления полезной нагрузкой и сеансами. Его архитектура напоминает Cobalt Strike и Sliver, что облегчает шпионаж, кражу данных и внедрение программ-вымогателей. Он использует определенные команды для выполнения операционных задач, в зависимости от операционной системы, таких как завершение работы системы в Windows и манипуляции с файлами в Linux. Ошибка в функции BuildClient позволяет вводить команды из-за неправильной проверки ввода. Уязвимость межсайтового скриптинга (XSS) позволяет внедрять вредоносные скрипты в данные агента. Ее открытый исходный код увеличивает риск модификации для различных киберпреступных действий. Инструмент работает скрытно с низким уровнем обнаружения и потенциально может использоваться группами APT, такими как APT41 и APT10. Последние обновления в конфигурациях командно-диспетчерского управления указывают на непрерывную эволюцию средств защиты от кибербезопасности.

#ParsedReport #CompletenessLow
08-06-2025

Scattered Spider Targets Tech Companies for Help-Desk Exploitation - ReliaQuest

https://reliaquest.com/blog/scattered-spider-cyber-attacks-using-phishing-social-engineering-2025/

Report completeness: Low

Actors/Campaigns:
0ktapus (motivation: cyber_criminal, financially_motivated)
Dragonforce

Threats:
Evilginx_tool
Sim_swapping_technique
Typosquatting_technique
Blackcat
Ransomhub
Simplehelp_tool
Supply_chain_technique

Victims:
Marks & spencer, Co-op, Harrods, It contractors, Managed service providers, Reliaquest customers, Tcs

Industry:
Retail, Financial

Geo:
Russian, Russia, Moscow

ChatGPT TTPs:
do not use without manual check
T1071.001, T1078, T1078.002, T1078.003, T1098.001, T1110, T1110.001, T1111, T1136.001, T1136.003, have more...

Soft:
servicenow, ESXi

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Scattered Spider - это финансово мотивированная киберпреступная группировка, нацеленная на технический, финансовый и розничный секторы, использующая методы социальной инженерии и фишинга, в частности, через Evilginx в обход MFA. В своих операциях они используют поставщиков управляемых услуг, нацеливаясь на ценные учетные данные с помощью передовых методов, таких как вишинг и уязвимости в программном обеспечении для удаленного управления. Организациям следует усилить меры безопасности и обучение для устранения этих возникающих угроз.
-----

Scattered Spider - это финансово мотивированная киберпреступная группировка, нацеленная на технологии, финансы и розничную торговлю. Они специализируются на краже ценных учетных данных системных администраторов и руководителей. Их атаки в значительной степени основаны на социальной инженерии и фишинге, используя такие инструменты, как Evilginx, для обхода многофакторной аутентификации. Примерно 81% их доменов выдают себя за поставщиков технологий, а для обмана жертв используется такая тактика, как тайпсквоттинг.

Группа использует поставщиков управляемых услуг и ИТ-подрядчиков для взлома нескольких клиентских сетей с помощью одной компрометации. Они были связаны со значительными киберинцидентами в Великобритании и США, хотя прямая причастность к ним не подтверждена. Их операционная инфраструктура демонстрирует переход от регистрации доменов через дефис к регистрации доменов на основе поддоменов, чтобы избежать обнаружения.

Из более чем 600 проанализированных доменов около 35% были нацелены на технологические компании, в то время как 20% были нацелены на финансы, а 15% - на розничную торговлю. Фишинговые методы Scattered Spider включают в себя advance frameworks, получение учетных данных с помощью поддельных страниц входа. Кроме того, они используют методы вымогательства, манипулируя сотрудниками с помощью изученных профилей в социальных сетях.

Сотрудничество с российскими организациями, занимающимися киберпреступностью, повышает эффективность их деятельности. Последние методы включают использование уязвимостей в программном обеспечении для удаленного управления, таком как SimpleHelp, для развертывания программ-вымогателей. Они сосредоточены на приобретении специализированных доменов для конкретных целей и используют автоматизированный мониторинг для быстрого обнаружения вторжений. Рекомендации по снижению рисков включают аутентификацию на основе рисков, расширенное обучение социальной инженерии и внедрение надежных мер безопасности. Постоянная бдительность и проактивная защита необходимы против тактики рассеянных пауков.

#ParsedReport #CompletenessHigh
08-06-2025

The Golden Eye Dog (APT-Q-27) group recently used the "Silver Fox" Trojan to steal secrets

https://mp.weixin.qq.com/s?__biz=MzI2MDc2MDA4OA==&mid=2247515029&idx=1&sn=41ca43a966c86bed0a8229ada062a316

Report completeness: High

Actors/Campaigns:
Golden_eyed_dog
Silver_fox
Miuuti

Threats:
Raindrop_tool
Watering_hole_technique
Todesk_tool
Winos
Ollvm_tool

Geo:
China, Asia, Chinese

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1059.001, T1071.001, T1082, T1105, T1189, T1218.011, T1496, T1499, have more...

IOCs:
File: 16
Hash: 10
Path: 1
IP: 6
Registry: 1
Url: 1
Domain: 1

Soft:
QuickConnect VPN, Windows Defender, NET Framework, Android

Algorithms:
md5, zip

Languages:
delphi, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 4, code: 15, table: 2, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-Q-27, также известный как Golden Eye Dog, нацелен на сектор азартных игр и сборищ собак, используя DDoS-атаки и распространение вредоносного ПО с помощью методов "водопоя". Их вредоносные программы, включая трояны Winos4.0, используют передовые методы обфускации и защиты от обнаружения, включая такие инструменты, как Config.ini и Insttect.exe. Связь с серверами C2 осуществляется по определенным IP-адресам и портам, что позволяет осуществлять фильтрацию данных и постоянный контроль.
-----

Хакерская группа, известная как Golden Eye Dog, идентифицированная как APT-Q-27, активно атакует игорный бизнес и сектор, занимающийся продажей собак, используя различные методы атак, такие как дистанционное управление, майнинг криптовалют и распределенные атаки типа "отказ в обслуживании" (DDoS). Их подход включает в себя использование методов "водопоя" для распространения вредоносных программ и внедрения троянских программ, эффективно компрометирующих пользовательские системы. Вредоносное ПО, разработанное этой группой, создано с использованием таких языков программирования, как .NET, C++, Go и Delphi, что свидетельствует о глубоком понимании разработки программного обеспечения и механизмов защиты от обнаружения.

Заметным компонентом их вредоносного ПО является конфигурационный файл Config.ini, который работает как шелл-код, загружающий переносимый исполняемый файл (PE). Этот исполняемый файл обращается к экспортированной функции из библиотеки динамической компоновки (DLL) под названием "VFPower", которая также важна для создания мьютекса с именем "zhuxianlu". Одно из их недавних направлений атаки было связано с развертыванием вредоносного установочного пакета, замаскированного под Todesk, который в дальнейшем внедряет троянскую программу Winos4.0. Скомпилированные исполняемые файлы часто превышают 30 МБ и, по-видимому, в основном написаны на C++, демонстрируя поведение, указывающее на сетевые возможности и выполнение команд PowerShell.

Связь с сервером управления (C2) устанавливается через IP-адрес (120.89.71.226) и использует несколько портов, включая 8852, 9090, 18852 и 18853. Кроме того, вредоносная программа демонстрирует отличительную черту семейства троянских программ "Silver Fox", добавляя диск C в каталог исключений антивирусов, что обеспечивает ей определенную степень защиты от обнаружения средствами безопасности. Важную роль в работе этой вредоносной программы играет важный исполняемый файл, известный как Insttect.exe, который загружает файл с именем Single.ini для облегчения выполнения шеллкода и вызова функции VFPower из библиотеки DLL.

Сам шеллкод обфускируется с помощью OLLVM, который представляет собой сложный уровень защиты, предназначенный для предотвращения обратного проектирования и анализа. Бэкдор, созданный этим вредоносным ПО, не только обеспечивает дальнейшую загрузку вредоносных программ, но и обеспечивает непрерывную связь с сервером C2, одновременно регистрируя дополнительные вредоносные DLL-файлы в скомпрометированной системе. Вредоносное ПО также предназначено для сбора и передачи машинных данных, что повышает его функциональность и устойчивость в зараженных средах. Группа использует как конкретные IP-адреса для своих операций C2, так и доменные имена, что иллюстрирует многогранную стратегию поддержания контроля над скомпрометированными активами.

#ParsedReport #CompletenessLow
08-06-2025

iProov Threat Intelligence Uncovers Grey Nickel Threat Actor Targeting Banking, Crypto, and Payment Platforms

https://www.iproov.com/press/threat-intelligence-grey-nickel-targeting-banking-crypto-payment-platforms

Report completeness: Low

Actors/Campaigns:
Playful_taurus (motivation: cyber_criminal)

Industry:
Financial

Geo:
United kingdom, America, Asia, Asia-pacific, London, Emea

ChatGPT TTPs:
do not use without manual check
T1036, T1056.002, T1078, T1113, T1204.001, T1204.002, T1566

Soft:
Android

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступная группировка "Серый никель" нацелена на финансовые учреждения по всему миру, используя уязвимости для удаленной проверки личности с помощью обмена лицами и манипулирования видеопотоками в обход процедур KYC. Их деятельность основана на модели "глубокой подделки как услуги", которая использует украденные базы данных идентификационных данных для облегчения крупномасштабного мошенничества с личными данными, что приводит к значительным финансовым потерям для организаций.
-----

Киберпреступная операция, известная как "Серый никель", активно нацелена на финансовые учреждения по всему миру, особенно в Азиатско-Тихоокеанском регионе, а недавние действия были отмечены в Северной Америке и регионе EMEA. Эта изощренная хакерская группа использует передовые методы для использования уязвимостей в системах удаленной проверки личности, стремясь обойти процедуры "Знай своего клиента" (KYC). С июля 2023 года Grey Nickel сосредоточилась на банках, криптовалютных биржах, электронных кошельках и цифровых платежных платформах, используя технологию обмена лицами и манипулирование метаданными, чтобы обойти системы определения подлинности, которые обычно используются для верификации.

Криминальные сети разработали мобильные приложения, способные обходить проверку KYC как на платформах Android, так и на iOS. Эти приложения внедряют в процесс проверки предварительно записанные или обработанные видеопотоки, которые становятся все более совершенными и включают функции синхронизации по губам, чтобы обойти проблемы с аутентификацией на основе голоса. Операции основаны на модели "Подделка как услуга", когда независимые субъекты предлагают индивидуальные услуги по созданию подделок в рамках своих пакетов обхода KYC, предназначенных специально для финансовых учреждений. Этот подход использует украденные базы данных идентификационных данных и носители, созданные с помощью искусственного интеллекта, для создания синтетических идентификационных данных, которые облегчают крупномасштабное мошенничество с личными данными.

Последние данные указывают на тревожную тенденцию: в отчетах говорится о значительных финансовых потерях из-за мошенничества с использованием искусственного интеллекта, включая случай, произошедший в 2024 году, когда мошенники выдавали себя за руководителей компании, чтобы обмануть фирму на сумму 25,6 миллиона долларов. Опросы показывают, что в 2023 году более половины финансовых организаций понесли убытки в размере от 5 до 25 миллионов долларов из-за атак с использованием искусственного интеллекта. Кроме того, в отчете Организации Объединенных Наций зафиксирован 600-процентный рост преступной деятельности, связанной с deepfake, в Юго-Восточной Азии в первой половине 2024 года, что подчеркивает тревожную эскалацию преступлений, связанных с использованием искусственного интеллекта.

Одной из основных проблем в борьбе с этими угрозами является непоследовательная и зачастую неадекватная отчетность финансовых учреждений. Отсутствие всеобъемлющей отчетности об инцидентах затрудняет понимание регулирующими органами масштабов киберпреступности, что препятствует эффективному реагированию со стороны регулирующих органов. В то время как такие регионы, как Европейский союз, добиваются успехов во внедрении надежных решений для идентификации цифровых данных в соответствии с требованиями законодательства о борьбе с отмыванием денег, многие страны остаются позади. Такое неравенство создает возможности для киберпреступников и подчеркивает настоятельную необходимость расширения международного сотрудничества и обмена данными для совершенствования мер безопасности и нормативно-правовой базы в секторе финансовых услуг.

#ParsedReport #CompletenessLow
08-06-2025

NightSpire Ransomware Encrypts Cloud-Stored OneDrive Files

https://www.sonicwall.com/blog/nightspire-ransomware-encrypts-onedrive-files

Report completeness: Low

Threats:
Nightspire

Victims:
Facility services organization

Geo:
Spain

ChatGPT TTPs:
do not use without manual check
T1486, T1587.001, T1590

IOCs:
File: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
NightSpire - это быстро развивающаяся программа-вымогатель, обнаруженная в марте 2023 года, которая затрагивает более 45 жертв, шифруя файлы и предоставляя инструкции по восстановлению. Разработанная на Go и распространяемая в виде портативного исполняемого файла, ее хакеры работают в сети Tor, ведя блог, в котором перечислены жертвы и обновления. SonicWall создала сигнатуры для обнаружения этой программы-вымогателя, что подчеркивает необходимость внедрения организациями проактивной защиты.
-----

NightSpire - это быстро развивающаяся разновидность программы-вымогателя, впервые обнаруженная в марте 2023 года, жертвами которой уже стали более 45 человек по всему миру. Эта вредоносная программа шифрует пользовательские файлы и отправляет инструкции по восстановлению с помощью текстового файла, что является распространенным методом среди разновидностей программ-вымогателей. NightSpire упакован в виде портативного исполняемого файла и разработан на Go, что может облегчить его развертывание в различных системах.

Хакеры, связанные с NightSpire, установили свое присутствие в сети Tor, где они ведут блог, который служит как платформой для объявлений, так и хранилищем обновлений, касающихся деятельности программы-вымогателя. В блоге подробно перечислены известные жертвы, последней из которых является организация facility services в Испании. До сих пор группа оставалась закрытой в своей деятельности, о чем свидетельствует страница "О компании". Однако быстрый рост их активности свидетельствует о потенциале будущего расширения, которое может включать привлечение филиалов, работающих на международном уровне.

В ответ на эту возникающую угрозу SonicWall Capture Labs разработала специальные сигнатуры, направленные на обнаружение и нейтрализацию программы-вымогателя NightSpire. Учитывая динамику развития группы и тревожный уровень заражения, постоянный мониторинг и стратегии проактивной защиты необходимы организациям для защиты своих сетей от этого развивающегося вредоносного ПО.

#ParsedReport #CompletenessMedium
08-06-2025

DarkGaboon: Cyberviper's Venom in the Digital Veins of Russian Companies

https://habr.com/ru/companies/pt/articles/915992/

Report completeness: Medium

Actors/Campaigns:
Darkgaboon

Threats:
Lockbit
Dotnet_reactor_tool
Xworm_rat
Themida_tool
Homoglyph_technique

Victims:
Russian companies, Employees in financial departments

Geo:
Seychelles, African, Russian, American, Russia, Ukrainian

ChatGPT TTPs:
do not use without manual check
T1027, T1046, T1071.001, T1082, T1105, T1204.002, T1486, T1566.001, T1583.001

IOCs:
Domain: 57
Hash: 48
IP: 2

Soft:
NET Reactor, Phpmailer, CPanel, Gmail

Algorithms:
aes-ecb, md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа DarkGaboon APT нацелилась на российские компании, используя передовую тактику фишинга, размещая вложения в формате RTF, содержащие сообщения Revenge и XWorm RATs. Они используют программу-вымогательницу LockBit 3.0 для шифрования и общаются преимущественно на русском языке, что исключает возможность утечки данных. Их инфраструктура включает в себя недавно зарегистрированные домены .ru и использует инструменты с открытым исходным кодом, работая независимо от распространенных моделей RaaS.
-----

В январе 2023 года расследования выявили продолжающиеся кибератаки группы DarkGaboon APT на российские компании, о которых впервые стало известно весной 2023 года. Эти атаки включали в себя передовые и эволюционирующие тактики, методы и процедуры (TTP), хотя в более ранних анализах отсутствовали подробные сведения о полной цепочке уничтожения атак. Последующие расследования, проведенные Отделом комплексного реагирования на хакерские атаки, выявили важные компоненты деятельности DarkGaboon, включая сетевой сканер, известный как NS, и шифровальщик LockBit.

DarkGaboon в первую очередь нацелен на сотрудников финансовых отделов, используя фишинговые электронные письма на русском языке, часто с вложениями срочных документов. Вложения обычно состоят из документов-приманки в формате RTF и scr-файлов, содержащих запутанные версии Revenge и XWorm RAT (троян удаленного доступа). В этих вредоносных файлах используются различные методы обмана, такие как использование одинаковых имен, поддельных изображений в формате PDF и недействительных сертификатов X.509, предположительно связанных с законными российскими юридическими лицами. С 2023 года постоянно используются документы в формате RTF, созданные на основе подлинных финансовых шаблонов. После успешного вторжения Даркгабун проводит внутреннюю разведку с помощью этих крыс.

В развертывании RAT используется UPX для упаковки, дешифрования с помощью AES-ECB и использования определенного хэша MD5 для ключа шифрования (например, "oKuQzNc8L6QcYdrA5"). Использование группой NS network scanner было отмечено с 2019 года и является распространенным явлением среди киберпреступников. DarkGaboon шифрует файлы, используя версию программы-вымогателя LockBit 3.0, и общается с жертвами с помощью русскоязычных заметок, в которых содержатся инструкции по расшифровке и контакты по электронной почте, а также указаны индикаторы утечки данных.

Вредоносные электронные письма рассылаются с SMTP-сервера, расположенного в России, с использованием таких инструментов, как Phpmailer, и доменов .ru, многие из которых недавно зарегистрированы. Инфраструктура группы также включает в себя услуги динамического DNS и решение для виртуального хостинга Windows, арендованное у американского провайдера, с некоторыми компонентами, связанными с регистрацией на Сейшельских островах. Примечательно, что домен Room155.online был зарегистрирован в марте 2023 года и связан с трафиком, связанным с атаками.

На протяжении всех инцидентов сообщения повторяли предыдущие действия, но в них отсутствовали конкретные идентификаторы, которые могли бы связать их с нападавшими. Несмотря на то, что DarkGaboon использует инструменты с открытым исходным кодом, такие как Revenge, XWORM и LockBit Clinker, он работает независимо и, похоже, не следует типичным методам извлечения данных, связанным с моделями "программы-вымогатели как услуга" (RaaS). Ожидается, что DarkGaboon продолжит свою деятельность в отношении российских предприятий, а соответствующие органы по кибербезопасности планируют осуществлять постоянный мониторинг.

#ParsedReport #CompletenessMedium
08-06-2025

Over 20 Crypto Phishing Applications Found on the Play Store Stealing Mnemonic Phrases

https://cyble.com/blog/crypto-phishing-applications-on-the-play-store/

Report completeness: Medium

Threats:
Typosquatting_technique

Victims:
Crypto wallet users

Industry:
Entertainment, Financial

ChatGPT TTPs:
do not use without manual check
T1078.003, T1407, T1444, T1566.001, T1584

IOCs:
File: 21
Url: 14
IP: 1
Domain: 32
Hash: 2

Soft:
Raydium, Google Play, android

Crypto:
pancakeswap

Algorithms:
exhibit, sha1, md5, sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Более 20 вредоносных приложений, нацеленных на криптовалютные кошельки, используют тактику фишинга, копируя такие приложения, как PancakeSwap, для кражи мнемонических фраз. Распространяемые через взломанные аккаунты разработчиков, они используют платформу Median для быстрого преобразования веб-сайтов в приложения и используют фишинговые URL-адреса в своих политиках конфиденциальности. Обнаруживаемая инфраструктура, связанная с несколькими фишинговыми доменами, свидетельствует о скоординированных действиях против пользователей криптовалют.
-----

Недавние исследования Cyble Research and Intelligence Labs (CRIL) выявили появление более 20 вредоносных приложений, предназначенных для атаки на пользователей криптовалютных кошельков с помощью фишинга. Эти поддельные приложения маскируются под настоящие кошельки, включая такие популярные варианты, как PancakeSwap и SushiSwap. Пользователей обманом заставляют вводить свои мнемонические фразы из 12 слов через мошеннические интерфейсы, что позволяет злоумышленникам получить доступ к их реальным кошелькам и истощить их запасы криптовалюты.

Вредоносные приложения в основном распространяются через Google Play Store через аккаунты, которые были либо скомпрометированы, либо перепрофилированы разработчиками законных приложений, таких как программы для загрузки игр и видео, в результате чего количество загрузок некоторых приложений превысило 100 000. Хакеры используют различные методы атаки, чтобы облегчить распространение этих вредоносных приложений. В частности, они включают фишинговые URL-адреса в политики конфиденциальности этих приложений и повторно используют похожие названия пакетов, что упрощает использование доверия пользователей.

Технически эти вредоносные приложения используют платформу Median, позволяющую быстро преобразовывать веб-сайты в приложения для Android. Например, в этих приложениях используется специальный фишинговый URL-адрес "hxxps://pancakefentfloyd.cz/api.php", который перенаправляет жертв на фишинговый сайт, имитирующий законный интерфейс кошелька PancakeSwap. Это взаимодействие происходит в WebView, где пользователей вводят в заблуждение, заставляя вводить свои мнемонические фразы.

Другой вариант вредоносных приложений работает без фреймворка разработки, напрямую загружая фишинговый сайт в WebView, снова выдавая себя за законный кошелек, такой как Raydium. Расследования показали, что один из фишинговых URL-адресов размещен на IP-адресе, связанном с более чем 50 другими фишинговыми доменами, что указывает на хорошо организованную инфраструктуру, направленную на кражу мнемонических фраз на нескольких криптовалютных платформах.

Эта кампания представляет собой скоординированную фишинговую операцию, направленную на быстро растущее сообщество пользователей криптовалютных кошельков. Используя, казалось бы, законные приложения и скомпрометированные учетные записи разработчиков, злоумышленники не только расширяют сферу своей деятельности, но и снижают шансы на обнаружение с помощью стандартных мер безопасности. Финансовые последствия этих атак могут быть разрушительными для жертв, учитывая необратимый характер криптовалютных транзакций. Поскольку ландшафт цифровых активов продолжает развиваться, это подчеркивает острую необходимость повышения бдительности пользователей и ответственности заинтересованных сторон, таких как магазины приложений и охранные компании, за принятие упреждающих мер по выявлению и устранению таких угроз.

#ParsedReport #CompletenessLow
08-06-2025

Threat Spotlight: Hijacked Routers and Fake Searches Fueling Payroll Heist - ReliaQuest

https://reliaquest.com/blog/threat-spotlight-payroll-fraud-attackers-stealing-paychecks-seo-poisoning/

Report completeness: Low

Actors/Campaigns:
Doppelgnger

Threats:
Seo_poisoning_technique
Residential_proxy_technique

Industry:
Telco, E-commerce

Geo:
Russia

CVEs:
CVE-2024-3080 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-2492 [Vulners]
CVSS V3.1: 9.2,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1027, T1071.001, T1078, T1090.003, T1110.003, T1190, T1204.001, T1505.003, T1555, T1566.002, have more...

IOCs:
File: 1
IP: 20

Soft:
WordPress

Languages:
javascript, php, swift