#ParsedReport #CompletenessLow
08-06-2025

Threat Spotlight: Hijacked Routers and Fake Searches Fueling Payroll Heist - ReliaQuest

https://reliaquest.com/blog/threat-spotlight-payroll-fraud-attackers-stealing-paychecks-seo-poisoning/

Report completeness: Low

Actors/Campaigns:
Doppelgnger

Threats:
Seo_poisoning_technique
Residential_proxy_technique

Industry:
Telco, E-commerce

Geo:
Russia

CVEs:
CVE-2024-3080 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-2492 [Vulners]
CVSS V3.1: 9.2,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1027, T1071.001, T1078, T1090.003, T1110.003, T1190, T1204.001, T1505.003, T1555, T1566.002, have more...

IOCs:
File: 1
IP: 20

Soft:
WordPress

Languages:
javascript, php, swift

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложная SEO-атака была нацелена на мобильные устройства с целью кражи учетных данных и мошенничества с оплатой труда, используя поддельные страницы входа в систему, которые занимали высокие позиции в результатах поиска. Используя незащищенные сети, злоумышленники использовали методы фишинга и инструмент под названием Pusher для отслеживания украденных учетных данных, что усложняло усилия по обнаружению из-за быстрой смены IP-адресов со взломанных локальных маршрутизаторов. Организациям рекомендуется внедрять многофакторную аутентификацию и отслеживать домены, выдающие себя за пользователей, для устранения этих возникающих угроз.
-----

Сложная SEO-атака была нацелена на мобильные устройства, что привело к краже учетных данных и мошенничеству с платежными ведомостями. Злоумышленники создали поддельные страницы для входа, имитирующие законные платежные порталы, и заняли высокие позиции в поисковых системах с помощью манипулятивных методов SEO. Атака была проведена из-за отсутствия надежной защиты мобильных устройств сотрудников, подключенных к незащищенным сетям. Первоначальные расследования не выявили признаков SEO-атаки, но тесты выявили, что мошеннические сайты занимают лидирующие позиции в результатах поиска, связанных с начислением заработной платы. В ходе атаки были использованы уязвимости, связанные с использованием мобильных устройств, что позволило обойти традиционные меры безопасности за пределами корпоративных сетей. Жертвы были перенаправлены на сайт WordPress, выдававший себя за портал для входа в систему Microsoft, который собирал конфиденциальную информацию с помощью HTTP POST-запросов. Для обработки этих запросов использовался PHP-файл, что указывает на настойчивость того же хакера в прошлых инцидентах. Злоумышленники использовали инструмент под названием Pusher для получения уведомлений о краже учетных данных в режиме реального времени, что позволило быстро их использовать. Быстрая смена IP-адресов в жилых домах помогла им избежать обнаружения, что усложнило отслеживание. Уязвимости в маршрутизаторах потребительского класса облегчили доступ к этим сетям. Использование непрослеживаемых прокси-сетей позволило злоумышленникам смешивать трафик и обходить меры безопасности. Организациям следует внедрять многофакторную аутентификацию (MFA) и политики условного доступа, отслеживать изменения в системе прямого пополнения счета, обучать персонал безопасному доступу и заблаговременно выявлять домены, выдающие себя за пользователей. Для борьбы с развивающимися методами фишинга и кражей учетных данных необходима постоянная адаптация стратегий кибербезопасности.

#ParsedReport #CompletenessMedium
07-06-2025

Operation Futile

https://www.cverc.org.cn/head/zhaiyao/Investigation_report_on_Cyberattacks_launched_by_Taiwan_ICEFCOM_EN.pdf

Report completeness: Medium

Actors/Campaigns:
Futile (motivation: sabotage, information_theft, cyber_espionage)
Greenspot
Apt-c-62
Apt-c-64 (motivation: sabotage, cyber_espionage)
Apt-c-65 (motivation: cyber_espionage)
Apt-c-67
Green_spot

Threats:
Quasar_rat
Mirrordump_tool
Postdump_tool
Ppldump_tool
Cobalt_strike_tool
Metasploit_tool
Sliver_c2_tool
Process_injection_technique
Gotohttp_tool
Jump_desktop_tool
Poison_ivy
Gh0st_rat
Xrat_rat

Victims:
Government entities, Public service entities, Research institutions, Universities, Defense technology entities, Industry entities, Foreign affairs agencies, Critical information infrastructure, Transportation sector, Civil aviation, have more...

Industry:
Financial, Military, Iot, Logistic, Maritime, Healthcare, Government, Energy, Education, Aerospace, Media, Transport

Geo:
Chinese, Taiwan, Asian, Russia, China, Hong kong

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 12
Path: 7
Hash: 30

Soft:
Windows scheduled task, sysinternals, Chrome, Opera, Internet Explorer, Firefox, WinSCP, Linux, macOS, Android

Algorithms:
aes, exhibit, md5

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Тайваньские T-APT, включая такие группы, как APT-C-01 и APT-C-62, в основном нацелены на Китай, используя фишинг и использование веб-приложений. Они используют известные уязвимости и инструменты, такие как Cobalt Strike, для шпионажа и кражи данных, что указывает на ограниченное развитие передовых технологий.
-----

В отчете обсуждается кибершпионажная деятельность тайваньских аффилированных групп APT (APT), в совокупности именуемых T-APTS, которые действуют под эгидой Демократической прогрессивной партии (DPP) и Тайваньского командования информации, коммуникаций и электронных сил (ICEFCOM). Эти группы в первую очередь нацелены на правительственные учреждения и госслужбу, исследовательские институты и оборонный сектор материкового Китая с целью кражи конфиденциальных разведывательных данных, которые могут нарушить национальную безопасность и общественный порядок.

Одна известная группа, APT-C-01 (также известная как Poison Vine), использует фишинговую тактику для проникновения в особо ценные объекты. Во время пандемии COVID-19 она значительно активизировала свои фишинговые кампании, выдавая себя за отечественные почтовые сервисы и размещая поддельные документы, связанные с борьбой с пандемией. В 2023 году атаки группы расширились и охватили правительственные учреждения и гражданскую авиацию, часто используя фишинговые веб-сайты и поддельные документы для кражи конфиденциальных данных.

Другая группа, APT-C-62 (Viola Tricolor), преследует схожие цели с APT-C-01 и перешла от фишинга электронных писем к использованию уязвимостей в веб-приложениях. Их методология атаки включает в себя горизонтальное перемещение по скомпрометированным сетям и использование готовых инструментов для таких операций, как утечка данных.

APT-C-64 (Anonymous 64) известна своей причастностью к распространению пропаганды против материковой части Китая. Эта группа проводит кибератаки еще с 2006 года, нацеливаясь на цифровые медиа-сервисы и используя хакерские атаки для взлома общедоступного контента. Активность APT-C-64 достигла своего пика во время важных мероприятий, таких как Азиатские игры в Ханчжоу, где они были нацелены на уязвимые системы для распространения незаконной пропаганды.

APT-C-65 (Neon Pothos) специализируется на критически важной инфраструктуре в оборонном и аэрокосмическом секторах, осуществляя шпионаж и кражу данных в периоды повышенной политической напряженности между США и Тайванем. Наконец, APT-C-67 (Ursa) в основном атакует системы Интернета вещей (IoT) и сети видеонаблюдения для сбора географической и кибернетической информации.

T-APT используют различные методы первоначального доступа, в основном полагаясь на известные уязвимости в программном обеспечении и тщательную разведку для разработки персонализированных фишинговых атак. Их общая тактика заключается в использовании вредоносных вложений электронной почты, веб-атак и использовании общих слабых мест в широко используемом программном обеспечении. Группы обычно используют инструменты с открытым исходным кодом, такие как Cobalt Strike и QuasarRAT, для последующей эксплуатации, что позволяет им поддерживать постоянство и повышать привилегии в целевых сетях.

Несмотря на заявленные возможности, методы атаки, используемые T-APTs, указывают на то, что они основаны на известных уязвимостях, а не на передовых методах, что свидетельствует об ограниченности их возможностей в разработке уникального кибероружия. T-APTs уделяет особое внимание созданию документов-приманок на основе текущих событий для повышения эффективности своих фишинговых действий.

Подводя итог, этот отчет иллюстрирует расширяющуюся сферу деятельности и постоянную угрозу, исходящую от T-APT, подчеркивая их стратегическое сотрудничество и тактические подходы к кибервойне против объектов на материковой части Китая в соответствии с директивой тайваньских властей. Расследование вызывает обеспокоенность по поводу сложности и последствий киберопераций, вызванных региональной геополитической напряженностью.

#ParsedReport #CompletenessLow
08-06-2025

Active NPM Attack Escalates: 16 React Native Packages for GlueStack Backdoored Overnight

https://www.aikido.dev/blog/supply-chain-attack-on-react-native-aria-ecosystem

Report completeness: Low

Industry:
Media

ChatGPT TTPs:
do not use without manual check
T1005, T1105, T1547.001, T1584.005

IOCs:
File: 68
Domain: 1
Url: 4
IP: 2
Path: 1

Soft:
Node.js

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакер, связанный с пакетом rand-user-agent для npm, активизировал атаки, внедряя вредоносный код в широко используемые пакеты. Эта новая полезная нагрузка позволяет динамически выбирать между существующими и неопознанными серверами управления, одновременно собирая системные метаданные для разведки. Вредоносная программа стремится к постоянству, нацеливаясь на определенные каталоги в системах Windows, чтобы закрепиться.
-----

6 июня 2025 года была отмечена заметная эскалация хакерской активности, в которой участвовал хакер, ранее связанный со взломом популярного пакета npm, rand-user-agent. Этот субъект переключил внимание на проникновение в широко используемые пакеты, в совокупности накапливая около миллиона загрузок в неделю. Стратегия атаки становится все более изощренной после более ранних менее масштабных атак на менее популярные пакеты.

Критической причиной недавней атаки стало изменение в одном из важных пакетов, в результате чего в файл был тайно вставлен вредоносный код lib/commonjs/index.js. Конкретное изменение было идентифицировано в строке 46, и оно служит механизмом доставки полезной нагрузки, аналогичной той, которая была обнаружена в компромиссе rand-user-agent, но с ключевыми изменениями. Полезная нагрузка включает переменную, которая позволяет выбирать между ранее известными серверами управления (C2) и новым неопознанным сервером C2. Эта корректировка указывает на усовершенствованную тактику, позволяющую злоумышленникам динамически адаптировать свою инфраструктуру в зависимости от окружающей среды.

Помимо доставки вредоносной полезной нагрузки, код содержит функции для сбора системного контекста и метаданных, таких как тип операционной системы, Node.js версия, путь к скрипту и рабочий каталог. Кроме того, он выполняет внешний запрос для сбора сведений об общедоступных IP-адресах, что потенциально облегчает поиск и контроль.

Дизайн вредоносного ПО подчеркивает его стойкость, поскольку оно намерено оставаться скрытым и работать в скомпрометированных системах. На платформах Windows оно стремится расположиться по пути к каталогу %LOCALAPPDATA%\Programs\Python\Python3127. Наличие любых файлов в этом расположении означает успешную компрометацию, и любое такое заражение потребует немедленной проверки системы, поскольку злоумышленники могут использовать дополнительные полезные ресурсы для дополнительных вредоносных действий.

Постоянный характер этой угрозы свидетельствует о том, что разработчикам и пользователям необходимо проявлять бдительность и защищать свои системы от постоянно меняющейся тактики, применяемой злоумышленниками, которые демонстрируют отличные возможности по компрометации пакетов и внедрению троянских программ удаленного доступа (RATs).

#ParsedReport #CompletenessLow
08-06-2025

The OceanLotus organization is suspected of launching attacks against domestic operating systems and IOT devices

https://paper.seebug.org/3328/

Report completeness: Low

Actors/Campaigns:
Oceanlotus (motivation: information_theft)

Threats:
Nmap_tool

Victims:
Government agencies, Enterprises, Media, Activists, Key domestic units, Personal computers, Iot devices, Servers, Key institutions

Industry:
Iot, Financial, Government

Geo:
Asia

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1048.002, T1059, T1071.001, T1071.002, T1105, T1140, T1190, T1204, have more...

Soft:
Linux

Algorithms:
aes, xor

Platforms:
apple, arm, cross-platform, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
OceanLotus (APT32) нацелен на предприятия Восточной и Юго-Восточной Азии, используя пользовательское вредоносное ПО и инструменты с открытым исходным кодом. Его новый бэкдор "mingwdoor-ARM-2" специально разработан для архитектуры ARM64 и нацелен на устройства Интернета вещей и операционную систему Kylin OS, включая методы разведки с помощью nmap и SSL-связи с помощью Libcurl. История использования уязвимостей брандмауэра и VPN группой подчеркивает эволюцию ее методов проведения атак.
-----

OceanLotus, также известный как APT32, работает с 2012 года и в первую очередь ориентирован на правительственные учреждения и предприятия в Восточной и Юго-Восточной Азии. Недавно группа разработала вредоносное ПО, нацеленное на системы с архитектурой ARM64, отказавшись от своей прежней направленности на бэкдорные трояны для Windows. Новый бэкдор, "mingwdoor-ARM-2", предназначен для работы в таких системах, как встроенные устройства, мобильные устройства и операционная система Kylin. Он использует nmap для разведки и изменяет разрешения на использование памяти с помощью mprotect. Шелл-код этого варианта значительно совпадает с более ранними версиями для архитектуры X86. В отличие от предыдущих версий, которые использовали HTTP-связь на основе сокетов, версия ARM64 использует библиотеку Libcurl для SSL-связи. OceanLotus известна тем, что использует уязвимости брандмауэра, VPN и маршрутизаторов, воздействуя на системы Linux и Windows. В своих атаках они используют нетрадиционные языки программирования и надежные методы обфускации кода, которые препятствуют обратному проектированию и повышают скрытность.

#ParsedReport #CompletenessLow
08-06-2025

PumaBot Linux Botnet Targets IoT Surveillance Devices

https://blog.polyswarm.io/pumabot-linux-botnet-targets-iot-surveillance-devices

Report completeness: Low

Threats:
Pumabot
Xmrig_miner

Industry:
Iot

ChatGPT TTPs:
do not use without manual check
T1016, T1036, T1036.005, T1041, T1059.004, T1078.003, T1082, T1105, T1210, T1496, have more...

IOCs:
File: 1
Domain: 1
Hash: 3

Soft:
linux, Redis, systemd, MySQL

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PumaBot - это ботнет, написанный на платформе Go, нацеленный на устройства Linux IoT, использующий SSH-атаки методом перебора для получения доступа и маскирующийся под службу Redis для обеспечения сохраняемости. Он собирает конфиденциальную информацию и выполняет команды по добыче криптовалюты, используя методы уклонения, чтобы избежать обнаружения, что указывает на целенаправленную и скоординированную кампанию вредоносного ПО.
-----

PumaBot - это вредоносная ботнет-сеть, написанная на Go и специально разработанная для работы с IoT-устройствами на базе Linux. Стратегия заражения начинается с получения списков целей с сервера управления (C2) и использования учетных данных SSH, в первую очередь для устройств с открытыми SSH-портами. После успешного получения доступа PumaBot устанавливается на скомпрометированное устройство, записывая свой двоичный файл в /lib/redis, маскируясь под законную службу Redis. Чтобы обеспечить постоянство, он создает служебные файлы systemd с такими именами, как redis.service или mysqI.service (последнее хитро напоминает MySQL), что позволяет ему выдерживать перезагрузки системы и вписываться в законные процессы.

Ботнет не только компрометирует системы, но и собирает конфиденциальную системную информацию, такую как название операционной системы, версия ядра, архитектура и сведения о подключении, включая IP-адрес, имя пользователя и пароль. Эта информация упаковывается и отправляется обратно на сервер C2 в формате JSON с использованием пользовательского HTTP-заголовка для передачи. Основной функцией PumaBot является выполнение команд для майнинга криптовалюты, таких как "xmrig" и "networkxm". Отсутствие полных спецификаций путей для этих команд означает, что на зараженный хост могут быть загружены или выполнены дополнительные полезные данные, что увеличивает его производительность.

PumaBot также разработан с возможностью обхода механизмов обнаружения; он использует методы снятия отпечатков пальцев для идентификации системной среды и предотвращения "ловушек", в частности, для поиска строки "Pumatronix", связанной с системами видеонаблюдения. Это указывает на целенаправленный подход, при котором либо фокусируются на конкретных устройствах Интернета вещей, либо исключаются из него. Вместо использования методов самораспространения, характерных для вредоносных программ, подобных червям, PumaBot работает как полуавтоматическая ботнет-сеть, обеспечивающая охват за счет выбора цели, ориентированной на C2, в сочетании с атаками методом перебора.

Дальнейший анализ выявил связанные компоненты вредоносного ПО, такие как *ddaemon*, который действует как бэкдор, извлекающий и запускающий компонент интеллектуального анализа данных *networkxm*, а также *installx.sh *, командный скрипт, отвечающий за загрузку дополнительной полезной нагрузки и очистку истории bash, чтобы избежать обнаружения. Эти элементы указывают на скоординированную кампанию с использованием множества инструментов, работающих синергетически, чтобы увеличить охват и долговечность вредоносного ПО. Из-за своих функций и действий PumaBot считается новым видом хакерской деятельности, требующей бдительности со стороны сообществ безопасности.

#ParsedReport #CompletenessLow
08-06-2025

LCRYX Ransomware Utilizes Weak Encryption, Demands $500 Bitcoin Payment

https://www.sonicwall.com/blog/lcryx-ransomware-utilizes-weak-encryption-demands-500-bitcoin-payment

Report completeness: Low

Threats:
Lcrypt

ChatGPT TTPs:
do not use without manual check
T1059.005, T1083, T1486, T1489

IOCs:
Registry: 1
File: 1

Crypto:
bitcoin

Algorithms:
xor

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
LCRYX - это программа-вымогатель на VBScript, предназначенная для Windows, использующая Caesar cipher и XOR для шифрования и изменяющая имена файлов с помощью ".lcryx". Он отключает антивирусные процессы, потребляет 100% ресурсов процессора при шифровании и требует 500 долларов в биткоинах за расшифровку. Вредоносная программа также шифрует файлы на USB-накопителях, и ее присутствие сохраняется в активных атаках до 2025 года.
-----

LCRYX - это программа-вымогатель на основе VBScript, которая появилась в ноябре 2024 года и с тех пор была повторно идентифицирована с расширенными возможностями в феврале 2025 года. Эта программа-вымогатель специально предназначена для операционных систем Windows и использует методы шифрования Caesar cipher и XOR для шифрования файлов, добавляя расширение ".lcryx" к именам уязвимых файлов. При запуске LCRYX заставляет зараженную систему использовать 100% ресурсов процессора в процессе шифрования, что существенно влияет на производительность системы.

Вредоносная программа стратегически определяет, на какие каталоги нацелиться, в зависимости от версии Windows, на которой она запущена. Кроме того, LCRYX включает функции для отключения определенных системных процессов путем завершения работы любого перечисленного системного администрирования или антивирусного программного обеспечения, которые могут помешать его работе. Он также активно шифрует любые файлы, найденные на подключенных USB-накопителях, что увеличивает его потенциальное воздействие.

После шифрования файлов LCRYX требует выкуп в размере 500 долларов в биткоинах за ключ расшифровки, принуждая жертв к соблюдению требований, чтобы восстановить доступ к своим данным. По состоянию на начало 2025 года LCRYX по-прежнему подвергается различным активным атакам, что свидетельствует о его стойкости в среде хакеров. Компания SonicWall Capture Labs разработала сигнатуру для защиты от этой программы-вымогателя, которая помогает обнаруживать и смягчать ее воздействие на пользователей.

#ParsedReport #CompletenessHigh
08-06-2025

IBM X-Force Threat Analysis: DCRat presence growing in Latin America

https://www.ibm.com/think/x-force/dcrat-presence-growing-in-latin-america

Report completeness: High

Actors/Campaigns:
Hive0131
Hive0148
Hive0149
Hive0153

Threats:
Dcrat
Vmdetectloader
Process_injection_technique
Process_hollowing_technique
Adwind_rat
Sambaspy
Quasar_rat
Njrat

Victims:
The judiciary of colombia, Users within latam

Industry:
Financial

Geo:
Latin america, Latin american, Latam, Colombia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003, T1027, T1027.002, T1055.012, T1059.001, T1059.005, T1059.007, T1071.001, T1105, T1140, have more...

IOCs:
File: 16
Domain: 1
Url: 6
Path: 4
IP: 1
Registry: 1
Hash: 9

Soft:
Instagram

Algorithms:
xor, zip, base64, sha256

Functions:
ZwUnmapViewOfSection, SetThreadContex

Win API:
CreateProcess, VirtualAllocEx, WriteProcessMemory, GetThreadContext, ResumeThread

Languages:
javascript, powershell

Links:
https://github.com/robsonfelix/VMDetector
https://github.com/OpenCTI-Platform/connectors/tree/master/external-import/ibm-xti
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В мае 2025 года группа Hive0131 провела фишинговые кампании в Колумбии, используя вредоносные PDF-файлы и ссылки на документы Google для доставки VMDetectLoader, который запускает DCRat после обхода обнаружения в изолированной среде. В процессе заражения использовались ZIP-файлы, защищенные паролем, а также такие методы, как обработка данных для внедрения вредоносных программ. Это свидетельствует о растущей тенденции распространения вредоносных программ как услуги и фишинговых угроз, нацеленных на финансовые учреждения в Латинской Америке.
-----

В мае 2025 года хакерская группа Hive0131 провела фишинговые кампании, направленные против юридических лиц в Колумбии, выдавая себя за представителей судебной системы Колумбии. Эти рассылки содержали либо PDF-файл с вредоносной ссылкой, либо встроенные ссылки, перенаправляющие жертв на документы Google. Для получения электронных писем с приманкой в формате PDF жертвы загружали ZIP-файл с именем "1Juzgado 08 Civil Circuito de Bogot Notificacion electronica Orden de Embargo.uue", который содержал как безобидные файлы, так и вредоносный файл JavaScript. Этот JavaScript-файл загрузил дополнительную полезную нагрузку с сайта paste.ee и запустил ее с помощью PowerShell. Загрузчик с именем VMDetectLoader определяет, работает ли он в изолированной среде, и после проверки переходит к выполнению вредоносной полезной нагрузки.

Процесс заражения был инициирован с помощью фишинговых электронных писем, которые также содержали другой ZIP-архив, требующий ввода пароля, указанного в электронном письме. Этот архив содержал пакетный файл, предназначенный для загрузки скрипта VBS, который затем запускал скрипт PowerShell для дальнейшего распространения VMDetectLoader. VMDetectLoader специально использует методы обфускации и способен проверять наличие виртуальных сред, останавливая выполнение при обнаружении таких сред.

Важной характеристикой VMDetectLoader является его способность выполнять блокировку процессов, внедряя вредоносную конечную полезную нагрузку, DCRat, в легитимные процессы, такие как MSBuild.exe. Загрузчик был создан на основе проектов с открытым исходным кодом и использует несколько функций для управления своей вредоносной активностью. Успех атаки зависит от порядка загрузки полезных данных и методичного создания запланированных задач, обеспечивающих их постоянство.

IBM X-Force подчеркнула, что в латиноамериканском мире угроз различные группы активно внедряют вредоносные программы как услугу (MaaS), в частности, банковские трояны являются основной целью для получения финансовой выгоды. Было замечено, что эти группы, включая Hive0148 и Hive0149, распространяют известное банковское вредоносное ПО, такое как Grandoriero, в то время как Hive0131 переключила внимание на более частое использование DCRat в своих кампаниях. Учитывая эти тенденции, Латинская Америка остается уязвимой для продолжающихся фишинговых кампаний, нацеленных на конфиденциальную информацию, что свидетельствует о постоянном интересе хакеров к использованию пользователей в этом регионе.