#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние исследования указывают на рост числа фишинговых атак OAuth, нацеленных на Microsoft Entra ID, использующих законные рабочие процессы OAuth для сбора токенов безопасности с помощью специально созданных URL-адресов аутентификации. Хакер Uta0352 использует приложения Microsoft для повышения привилегий и извлечения данных с помощью таких инструментов, как ROADtools. Стратегии обнаружения, о которых говорится в отчете, включают мониторинг необычных шаблонов и телеметрии в журналах учетных записей Microsoft Entra ID для выявления и предотвращения потенциальных фишинговых атак.
-----

Фишинговые атаки OAuth нацелены на Microsoft Entra ID, ранее называвшуюся Azure AD. Хакер Uta0352 использует надежные приложения Microsoft для обхода мер безопасности. Злоумышленники используют законные рабочие процессы OAuth и инструмент ROADtools с открытым исходным кодом для создания фишинговых URL-адресов, которые собирают токены безопасности. Эти токены позволяют выполнять олицетворение, повышение привилегий и передачу данных из служб Microsoft через Microsoft Graph.

Цепочка атак включает в себя получение токенов доступа с помощью потока выдачи кода авторизации, манипулирование фишинговыми URL-адресами с такими параметрами, как идентификаторы клиентов, типы ответов, области действия и URI перенаправления. Методы обнаружения включают в себя выявление необычных входов с нескольких IP-адресов и определение конкретных потоков OAuth, связанных со службами Microsoft.

Предупреждения об аномальных схемах при попытках аутентификации, особенно таких, как повторное использование токена или несанкционированный доступ, имеют решающее значение для защиты. Злоумышленники используют токены с длительным сроком службы, такие как токены первичного обновления (PRT), для сохранения доступа без участия пользователя. Непрерывный мониторинг и ведение журнала с помощью Microsoft Entra ID необходимы для эффективного обнаружения и устранения этих новых тактик фишинга.

#ParsedReport #CompletenessLow
23-06-2025

A Deep Dive into a Modular Malware Family

https://www.wordfence.com/blog/2025/06/a-deep-dive-into-a-modular-malware-family/

Report completeness: Low

Victims:
Wordpress website administrators, Website users, Ecommerce platforms

Industry:
Financial

Geo:
American

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1001, T1021.001, T1027, T1056.003, T1059.007, T1070.004, T1071.001, T1087, T1098, T1140, have more...

IOCs:
File: 81
Domain: 14

Soft:
WordPress, Firefox, Chrome, Android, twitter, instagram, tiktok, Sogou, Telegram

Algorithms:
base64, zip

Functions:
y5, Date, yI, _0x1ed3d2, _0x3f6f61, E, insight____messages_content, get_current_user_id, wc_get_order_statuses, insight__get_order_status_woocommerce, have more...

Languages:
php, javascript

Platforms:
apple

Links:
https://github.com/javascript-obfuscator/javascript-obfuscator

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Семейство сложных вредоносных программ, маскирующихся под вредоносный плагин WordPress, специализируется на краже учетных данных и скимминге кредитных карт и нацелено на сайты с сентября 2023 года. В нем используются передовые методы обфускации, антианализа и динамической фильтрации данных, включая кодировку Base64, при сохранении постоянства с помощью localStorage.
-----

Команда Wordfence Threat Intelligence недавно проанализировала семейство сложных вредоносных программ, выявленных во время очистки сайта 16 мая 2025 года. Это вредоносное ПО, использующее общий код с различными функциональными возможностями, специализируется на краже учетных данных и скимминге кредитных карт. Известная версия уникально использовала серверную систему, размещенную на зараженных веб-сайтах, маскируясь под вредоносный плагин WordPress, который не был замечен в предыдущих вредоносных кампаниях. Исследование показало, что эта кампания продолжается с сентября 2023 года и нацелена на несколько организаций.

Эволюция вредоносного ПО была прослежена с помощью более чем 20 типовых вариантов, которые включали в себя сложные средства обфускации и антианализа, позволяющие избежать обнаружения, такие как обнаружение средствами разработчика, повторная привязка консоли и ограничение сферы их действия, чтобы избежать обнаружения администраторами сайта. Методы антианализа включали отключение ключевых сочетаний клавиш браузера и изменение поведения консоли, чтобы скрыть вредоносные действия.

Распространенные стратегии, используемые вредоносным ПО, включают манипулирование формами и утечку данных с помощью методов внедрения и наложения, нацеленных на информацию о платежах и выставлении счетов. Вредоносное ПО использует localStorage для обеспечения постоянства, сохраняя свое присутствие во время сеансов просмотра. Эксфильтрация осуществляется с использованием пользовательских методов кодирования, включая Base64 и уникальную процедуру кодирования для сокрытия конфиденциальных данных.

Дальнейший анализ выявил различные варианты, предназначенные для конкретных вредоносных действий, таких как перехват рекламы Google, кража учетных данных WordPress и содействие распространению вредоносных программ. Эти изменения демонстрируют гибкость семейства вредоносных программ и постоянное развитие. Ориентированные на рекламу версии вредоносного ПО использовали методы профилирования пользователей для оптимизации таргетинга, в то время как утечка данных в режиме реального времени происходила по секретным каналам, таким как Telegram, предоставляя злоумышленникам немедленный доступ к информации о жертвах.

Изначально вредоносная программа распространяла поддельный плагин WordPress с обманчивой структурой, который скрывал ее истинное назначение. Плагин, хотя и казался легитимным, содержал запутанный код, предназначенный для сбора данных из форм оформления заказа и манипулирования процессами оплаты, что еще больше расширяло возможности злоумышленников. Этот подход ознаменовал значительное распространение методов скимминга кредитных карт, при этом вредоносный код позволял выполнять его непосредственно со взломанного веб-сайта.

#ParsedReport #CompletenessMedium
24-06-2025

UAC-0001 (APT28) cyberattacks against government agencies using BEARDSHELL and COVENANT

https://cert.gov.ua/article/6284080

Report completeness: Medium

Actors/Campaigns:
Fancy_bear

Threats:
Beardshell_tool
Covenant_tool
Slimagent_tool

Industry:
Government, Telco, Ics, Military

IOCs:
File: 15
Domain: 4
Hash: 24
Path: 6
Registry: 3
Url: 2

Algorithms:
chacha20-poly1305, aes

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В марте-апреле 2024 года произошел киберинцидент, связанный с использованием устройства Windows, которое использовалось в качестве сервера для размещения вредоносных программ BEARDSHELL и SLIMAGENT. BEARDSHELL использовала шифрование Chacha20-Poly1305, передавала данные через Icedrive и добилась стойкости с помощью изменений в реестре. Атака началась с вредоносного макроса в документе, указывающего на подключение хакера к APT28 и расширенный доступ к целевой организации.
-----

В марте-апреле 2024 года был выявлен киберинцидент, связанный с использованием технического устройства в информационно-коммуникационной системе центрального органа исполнительной власти. Команда CERT-UA обнаружила, что это устройство, работающее под управлением операционной системы Windows, выполняло роль сервера и размещало два вредоносных инструмента - BEARDSHELL и SLIMAGENT. Обе программы были написаны на C++ и использовали различные методы для реализации хакерских атак, включая загрузку и выполнение сценариев PowerShell, а также эксфильтрацию данных.

Бэкдор BEARDSHELL специально использовал алгоритм шифрования Chacha20-Poly1305 для своих операций. Он взаимодействовал с хакерами через API-интерфейс службы Icedrive, создавая уникальный каталог для каждой взломанной машины на основе хэша имени компьютера и GUID его аппаратного профиля. Среди обнаруженных критически важных компонентов был "Ctec.dll", который расшифровывал и выполнял шелл-код из файла изображения с именем "Windows.png", что в конечном итоге привело к запуску варианта вредоносного ПО Covenant "KMQSyck.dx4.exe". Предполагалось, что этот фреймворк облегчает загрузку другого исполняемого файла “%Localappdata%\PACKAGSES\PLAYSNDSRV.DLL”, предназначенного для чтения из WAV-файла ("Sample-03.WAV") и дальнейшего распространения бэкдора BEARDSHELL.

Устойчивость бэкдора BEARDSHELL была обеспечена путем создания записей реестра, в частности, раздела "HKEY_CURRENT_USER\Software\Classes\CLSID", который был разработан для запуска запланированной задачи в мультимедийной системе Windows. Эта операция свидетельствует о передовых методах обеспечения сохранности данных и подчеркивает усилия группы по обеспечению долгосрочного доступа к скомпрометированным системам.

Первоначальное нарушение было инициировано с помощью документа под названием "Act.doc", который содержал вредоносный макрос, отправленный через Signal. Анализ показал, что злоумышленник обладал подробными сведениями об организации-мишени до начала атаки, что подчеркивает изощренность задействованного хакера, предположительно связанного с группой APT28 (известной различными кибероперациями). Тщательное расследование и ответные меры, проведенные CERT-UA в сотрудничестве с военными подразделениями по кибербезопасности, привели к выявлению этих вредоносных инструментов и методов, хотя полный масштаб атаки и ее последствия остаются объектом постоянного изучения.

#ParsedReport #CompletenessMedium
24-06-2025

APT-C-06 (DarkHotel) uses BYOVD technology to analyze the latest attack activities

https://www.ctfiot.com/258410.html

Report completeness: Medium

Actors/Campaigns:
Darkhotel

Threats:
Byovd_technique
Zemana_tool

Victims:
Trade personnel

Geo:
North korea, Chinese

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1068, T1204.002, T1562.001, T1566.001, T1620

IOCs:
File: 6
Hash: 2
Coin: 1

Soft:
WeChat, windows defender, Microsoft Defender

Algorithms:
md5, rc4

Win API:
MsiGetPropertyW, RtlDecompressBuffer

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-C-06 нацелился на торговый персонал, связанный с Северной Кореей, с помощью фишинговых электронных писем, содержащих пакеты вредоносных сертификатов. В ходе атаки использовались файлы на корейском языке, что привело к сбою в работе Microsoft Defender, а также использовалась технология BYOVD для повышения привилегий и прекращения работы конкурирующих вредоносных программ.
-----

В феврале 2025 года хакер APT-C-06 запустил кампанию с использованием вредоносных пакетов для установки сертификатов, отправленных по фишинговым электронным письмам. Эта операция напоминает их предыдущую атаку в начале 2024 года, в ходе которой основное внимание по-прежнему уделялось торговому персоналу, связанному с Северной Кореей, но число лиц, ставших мишенью, увеличилось. В ходе атаки использовались установочные пакеты на корейском языке, а вредоносная полезная нагрузка была доставлена в сжатом файле с надписью (2025).zip, что переводится как "электронный сертификат для обслуживания". Внутри этого архива находился файл с именем cert.msi, выполнение которого инициировало серию вредоносных действий, в конечном итоге позволивших полезной нагрузке находиться на компьютере жертвы.

После выполнения скомпрометированная среда запускает дальнейшие действия, включая запуск сценария PowerShell, который отображает вредоносное изображение, что еще больше вводит пользователя в заблуждение, заставляя поверить в законность установки. Методы атак претерпевают эволюцию, переходя от изощренных способов использования уязвимостей в тяжелых условиях к более рациональным и инновационным методам доставки полезной нагрузки. APT-C-06 адаптирует свою тактику для использования более простых механизмов, которые кажутся менее сложными, но остаются эффективными.

Структура недавней вредоносной программы включала в себя привычные процедуры инициализации, такие как расшифровка параметров конфигурации и последующее извлечение шеллкода из основной программы. Функциональность этого шеллкода включала загрузку переносимого исполняемого файла (PE) для выполнения задач "мягкого уничтожения" и применения мер защиты от отладки. Примечательно, что вредоносная программа отключает меры безопасности Microsoft Defender, изменяя его стандартные действия по обработке в зависимости от серьезности угрозы, что в конечном итоге нарушает возможности облачной защиты.

В ходе этой кампании были идентифицированы два конкретных системных драйвера с хэшами MD5 21e13f2cb269dfeae5e1d09887d47bb и f53fa44c7b591a2be105344790543369, которые связаны с технологией Zemana для прекращения работы конкурирующих вредоносных программ. Злоумышленник использовал методику BYOVD (Приведите свой собственный уязвимый драйвер), используя уязвимые драйверы для повышения привилегий и обхода протоколов безопасности. Выдав специальные коды управления вводом-выводом для дескрипторов устройств, связанных с этими драйверами, в сочетании с идентификатором процесса целевого программного обеспечения, злоумышленник смог успешно завершить эти процессы, продемонстрировав стратегическую и техническую эволюцию своего подхода к кибератакам.

#ParsedReport #CompletenessLow
25-06-2025

Top 3 Cyber Attacks in June 2025: GitHub Abuse, Control Flow Flattening, and More

https://any.run/cybersecurity-blog/cyber-attacks-june-2025/

Report completeness: Low

Threats:
Braodo
Remcos_rat
Netsupportmanager_rat
Pyobfuscate_tool
Lolbin_technique

Industry:
Retail, Telco, Healthcare, Financial

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1059.001, T1059.003, T1059.007, T1070.004, T1071.003, T1105, T1140, T1218, have more...

IOCs:
File: 4

Soft:
Linux, Android

Algorithms:
base64, zip

Win Services:
WebClient

Languages:
visual_basic, python, powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В июне 2025 года были совершены изощренные кибератаки с использованием запутанных скриптов и законных сервисов для доставки вредоносных программ. Кампания Braodo stealer размещает полезную информацию на GitHub, избегая обнаружения с помощью запутанных файлов BAT, выполняющих команды PowerShell, в то время как для доставки вредоносных программ Remcos используется сглаживание потока управления. Сложность обнаружения возрастает по мере того, как участники используют многоэтапные скрипты и LOLBins, что требует расширенных инструментов анализа для идентификации угроз.
-----

Серия изощренных кибератак в июне 2025 года продемонстрировала растущее использование запутанных скриптов и законных сервисов для доставки вредоносных программ. Примечательно, что кампания Braodo stealer использует общедоступные репозитории на GitHub для размещения своих полезных данных, в первую очередь для утечки данных, пытаясь избежать обнаружения. В кампании используются запутанные файлы BAT, которые содержат вводящие в заблуждение комментарии, затрудняющие анализ. Первый файл BAT выполняет скрытую команду PowerShell для загрузки второго файла BAT с GitHub, маскирующегося под изображение в формате .PNG, что приводит к дальнейшим вредоносным действиям, включая поиск дополнительных полезных данных и применение TLS 1.2. Полезная нагрузка Braodo, извлеченная из ZIP-файла, работает с использованием запутанного скрипта Python и содержит строки полезной нагрузки в кодировке Base64. Анализу такого поведения способствуют такие инструменты, как ANY.RUN Script Tracer и Threat Intelligence Lookup, которые позволяют аналитикам находить последние образцы и анализировать эксплуатационные характеристики Braodo.

Параллельно с этим другая угроза связана с JavaScript, который использует обфускацию, сглаживающую поток управления, для доставки вредоносного ПО Remcos. В этом методе используются самонаводящиеся функции и сложные циклы, которые затрудняют поиск строк, что затрудняет обнаружение для статических анализаторов. Влияние PowerShell на эти атаки усиливается, что подтверждается кампанией, в которой используется запутанный BAT-файл для доставки троянской программы удаленного доступа NetSupport (RAT). Эта атака использует запутанный сценарий для запуска PowerShell, который впоследствии загружает и выполняет компоненты для клиента NetSupport, обеспечивая несанкционированный контроль над компьютерами жертвы. Возможность идентифицировать такое запутанное поведение скрипта имеет решающее значение для анализа угроз с помощью инструментов, которые позволяют вести журнал выполнения скрипта без ручной деобфускации.

Поскольку злоумышленники все чаще используют многоэтапные скрипты и автономные двоичные файлы (LOLBins), традиционные методы обнаружения могут не учитывать важные признаки компрометации. Аналитический поиск угроз, интегрированный в такие платформы, как ANY.RUN, жизненно важен для расширения охвата обнаружения и ускорения расследования угроз. Быстро сопоставляя подозрительное поведение с соответствующими образцами вредоносных программ и кампаниями, специалисты по безопасности могут лучше понимать возникающие угрозы и тактику, применяемую киберпреступниками. Этот меняющийся ландшафт подчеркивает необходимость в передовых инструментах анализа, способных ориентироваться в сложностях современных методов распространения вредоносных программ.

#ParsedReport #CompletenessHigh
24-06-2025

Black Hat SEO Poisoning Search Engine Results For AI to Distribute Malware

https://www.zscaler.com/blogs/security-research/black-hat-seo-poisoning-search-engine-results-ai-distribute-malware

Report completeness: High

Threats:
Blackseo_technique
Seo_poisoning_technique
Lumma_stealer
Legionloader
Vidar_stealer
Dll_sideloading_technique
Process_hollowing_technique
Dll_injection_technique
Process_injection_technique

Geo:
Latvian

TTPs:
Tactics: 7
Technics: 11

IOCs:
Domain: 23
Url: 3
File: 3
Hash: 6

Soft:
ChatGPT, WordPress, NSIS installer, Microsoft Word, AutoHotKey

Algorithms:
zip, base64, 7zip, xor

Win API:
MsiSetPropertyW, decompress

Win Services:
ekrn

Languages:
javascript, powershell, autoit

#ParsedReport #ExtractedSchema

Classified images:
code: 1, schema: 2, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
хакеры используют веб-сайты, связанные с искусственным интеллектом, с помощью Black Hat SEO для распространения вредоносных программ, таких как Vidar Stealer, Lumma Stealer и Legion Loader. Атака использует JavaScript для сбора и перенаправления данных, а AWS CloudFront - для размещения скриптов. Вредоносное ПО доставляется через защищенные паролем ZIP-файлы и использует такие методы, как дополнительная загрузка DLL, чтобы избежать обнаружения.
-----

Недавнее исследование, проведенное Zscaler ThreatLabZ, выявило хакеров, использующих веб-сайты, связанные с ИИ, которые используются для распространения вредоносных программ. хакеры используют нынешнюю популярность инструментов ИИ, таких как ChatGPT и Luma AI, применяя методы SEO-оптимизации "черных шляп" для манипулирования рейтингами в поисковых системах. Такая стратегия увеличивает вероятность того, что неосторожные пользователи перейдут на эти вредоносные сайты при поиске тем, связанных с искусственным интеллектом. Основными вариантами вредоносного ПО, распространяемыми через эти сайты, являются Vidar Stealer, Lumma Stealer и Legion Loader, которые могут включать в себя функции для кражи конфиденциальной информации, включая данные о криптовалюте.

Как только пользователь попадает на одну из этих вредоносных страниц, сайт использует JavaScript для выполнения цепочки перенаправлений, ведущей к доставке вредоносного ПО. Этот скрипт способен выполнять сканирование браузера, собирать такие данные, как версия браузера, разрешение окна и файлы cookie, прежде чем перенаправить пользователя на основе собранной информации. Важным аспектом инфраструктуры атаки является использование AWS CloudFront, легальной сети доставки контента, которую злоумышленники используют для размещения своих скриптов, тем самым усиливая маскировку своих операций.

Центральное место в процессе распространения вредоносного ПО занимает домен, обозначенный как gettrunkhomuto.info, который взаимодействует с данными браузера пользователя и организует перенаправление на страницы, содержащие вредоносное ПО. Злоумышленники используют кодировку Base64, чтобы скрыть вредоносные URL-адреса, что затрудняет их обнаружение. JavaScript, который работает на этих веб-сайтах, связанных с искусственным интеллектом, также проверяет наличие блокировщиков рекламы, останавливая дальнейшие действия, если таковые будут обнаружены, чтобы процесс перенаправления оставался беспрепятственным.

Заключительные этапы цепочки распространения вредоносного ПО включают доставку полезной нагрузки в виде, казалось бы, законных, больших установочных файлов, которые позволяют обойти распространенные фильтры безопасности. Например, Vidar и Lumma Stealer распространяются в виде защищенных паролем ZIP-архивов, содержащих установщики NSIS. Эти установщики могут вводить пользователей в заблуждение, заставляя думать, что они обрабатывают вредоносные файлы, но они включают компоненты, которые генерируют исполняемые файлы, привязанные к вредоносной полезной нагрузке.

Метод распространения Legion Loader аналогичен, но еще более изощрен. Здесь пользователи получают доступ к ряду защищенных паролем ZIP-архивов, где под законным на вид MSI-файлом скрываются вредоносные элементы. После ряда взаимодействий, включая передачу данных на сервер управления (C2) и использование BAT-файлов для выполнения и извлечения полезной нагрузки, конечная вредоносная нагрузка внедряется в законные системные процессы с использованием таких методов, как дополнительная загрузка библиотек DLL и блокировка процессов. Этот передовой метод не только гарантирует скрытность вредоносного ПО, но и усложняет его обнаружение системами безопасности.

#ParsedReport #CompletenessMedium
25-06-2025

Iranian Educated Manticore Targets Leading Tech Academics

https://research.checkpoint.com/2025/iranian-educated-manticore-targets-leading-tech-academics/

Report completeness: Medium

Actors/Campaigns:
Educated_manticore (motivation: cyber_espionage)
Charming_kitten
Apt42
Greencharlie

Threats:
Spear-phishing_technique
Credential_harvesting_technique
Charmpower
Powerstar
Powerless

Victims:
Israeli journalists, Cyber security experts, Computer science professors, Technology professionals, Government officials, Military officials, Research sector individuals, Media sector individuals, Policy sector individuals, Academic experts, have more...

Industry:
Military, Government, Education

Geo:
Israel, Iran, Israeli, Iranian

ChatGPT TTPs:
do not use without manual check
T1056.001, T1071.001, T1204, T1556.002, T1566.002, T1583.001, T1584.001, T1586.002

IOCs:
Domain: 128
File: 2
Url: 1
IP: 13

Soft:
WhatsApp, Gmail, Outlook

Algorithms:
base64

Functions:
getElementById

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Компания Educated Manticore, связанная с КСИР Ирана, активизировала фишинг-атаки на израильских журналистов и аналитиков, используя сложные тактики, такие как контент, созданный искусственным интеллектом, и клавиатурные шпионы в режиме реального времени для сбора учетных данных и кодов 2FA, поддерживая динамичную и развивающуюся фишинговую инфраструктуру.
-----

Иранская хакерская группировка Educated Manticore, связанная с Корпусом стражей исламской революции (КСИР), активизировала фишинговые кампании, направленные против израильских журналистов, экспертов по кибербезопасности и ученых, на фоне обострения напряженности в отношениях между Ираном и Израилем. Группа известна своей нестандартной тактикой фишинга, когда злоумышленники выдают себя за вымышленных руководителей технологических компаний или исследователей, чтобы связаться со своими целями по электронной почте и WhatsApp. Жертв часто перенаправляют на поддельные страницы входа в Gmail или приглашения на Google Meet, где собирают их учетные данные и коды двухфакторной аутентификации (2FA), предоставляя злоумышленникам несанкционированный доступ к конфиденциальным учетным записям.

Компания Educated Manticore, также известная в сообществе кибербезопасности как APT42, Charming Kitten или Mint Sandstorm, в течение многих лет использовала скрытый фишинг в качестве основной стратегии, нацеленной на отдельных лиц в различных секторах, включая правительство и средства массовой информации. Группа использует изощренные фишинговые кампании, чтобы завоевать доверие высокопоставленных лиц, используя индивидуальные материалы, часто представляя себя как заслуживающих доверия людей из известных фирм по кибербезопасности. Заметная тактика, наблюдавшаяся в ходе недавних атак, заключается в использовании контента, созданного с помощью искусственного интеллекта, для повышения правдоподобности сообщений, несмотря на некоторые вводящие в заблуждение элементы, которые предупреждают наблюдательные цели о потенциальных мошенниках.

Инфраструктура фишинга эволюционировала, включая схемы регистрации доменов и использование современных веб-технологий, таких как одностраничные приложения на основе React (SPA), которые обеспечивают динамичный пользовательский опыт. Одной из важнейших особенностей этих фишинговых наборов является использование кейлоггера в режиме реального времени, который фиксирует нажатия клавиш и передает их в режиме реального времени злоумышленникам, расширяя их возможности по сбору конфиденциальной информации. Фишинговые страницы созданы таким образом, чтобы точно копировать законные процессы входа в систему для таких сервисов, как Google, Outlook и Yahoo, тем самым повышая шансы на вовлечение жертвы.

Используя одностраничные приложения и взаимодействие в режиме реального времени, хакеры упрощают несколько этапов сбора учетных данных, внедряя функции, поддерживающие ретрансляционные атаки 2FA, которые потенциально могут позволить им обойти дополнительные меры безопасности. Было показано, что домены, используемые в этих кампаниях, быстро развиваются, что свидетельствует о гибком подходе к поддержанию работоспособности в условиях тщательного контроля.

Постоянные и эффективные кампании "Образованной Мантикоры" по борьбе с фишингом свидетельствуют о сохраняющейся угрозе для граждан Израиля, особенно в условиях продолжающегося конфликта. Способность группы адаптировать и использовать передовые методы фишинга наряду с обширной инфраструктурой, способной быстро развертывать и удалять домены, является примером проблем, с которыми приходится сталкиваться при противодействии их операциям. Усилия по выявлению и пресечению этих атак пока не привели к существенному замедлению темпов, что позволяет предположить, что группа будет продолжать атаковать учетные данные и идентификационные данные, связанные с их стратегическими интересами.