#ParsedReport #ExtractedSchema

Classified images:
windows: 4, schema: 2, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследование ESET выявило две шпионские кампании, ProSpy и ToSpy, нацеленные на пользователей Android в ОАЭ. ProSpy маскируется под плагин для шифрования сигналов и приложение ToTok, используя для распространения фишинг-сайты и запрашивая обширные разрешения, перенаправляя пользователей на легальные страницы приложений, чтобы скрыть свое присутствие. В обеих кампаниях используются такие методы, как фишинг для первоначального доступа, выполнение запланированных задач и фоновые службы для закрепления, сбор конфиденциальных данных с помощью эксфильтрации HTTPS с шифрованием AES.
-----

Недавнее исследование, проведенное ESET, выявило появление двух кампаний шпионского ПО, нацеленных на пользователей Android, заботящихся о конфиденциальности, в Объединенных Арабских Эмиратах: ProSpy и ToSpy. Кампания ProSpy была объявлена в июне 2025 года, и есть признаки того, что она могла начаться уже в 2024 году. В рамках этой кампании вредоносное ПО маскируется под несуществующее приложение-плагин для шифрования сигналов и приложение для обмена сообщениями ToTok, используя для распространения фишинг-сайты, такие как signal.ct.ws и encryption-plug-in-signal.com-ae.net . Жертв заманивают разрешить ручную установку вредоносных APK-файлов, которые запрашивают обширные разрешения для доступа к контактам, SMS-сообщениям и файлам.

Вредоносное ПО ProSpy демонстрирует уникальный процесс выполнения; после запуска оно перенаправляет пользователей на официальную страницу загрузки ToTok, тем самым повышая видимость легитимности. Любые будущие запуски вредоносного приложения приводят пользователей непосредственно к законному приложению ToTok, эффективно скрывая его присутствие при сохранении двух значков приложений на устройстве — это потенциально может вызвать подозрения. Аналогичным образом, вариант плагина для шифрования сигналов шпионского ПО обманывает пользователей, открывая страницу с информацией о приложении для сервисов Google Play, что еще больше маскирует его злонамеренные намерения.

Впоследствии телеметрические системы ESET выявили кампанию ToSpy, признанную отдельным семейством программ-шпионов для Android, также нацеленную на пользователей в ОАЭ. Это вредоносное ПО распространялось через веб-сайты, призванные выдавать себя за законные платформы приложений, в том числе одну, имитирующую Galaxy Store, что увеличивало вероятность обмана пользователей.

В обеих кампаниях используются различные методы закрепления и фоновой работы. Они используют AlarmManager для поддержания непрерывности обслуживания и получения широковещательных намерений BOOT_COMPLETED для запуска при запуске устройства. Шпионское ПО собирает широкий спектр данных, включая контакты и SMS-сообщения, и использует шифрование AES для безопасной эксфильтрации этих данных по каналам HTTPS.

С точки зрения конкретной тактики, согласованной с методами MITRE ATT&CK, первоначальный доступ достигается с помощью фишинга, выполнение облегчается с помощью запланированных задач, а закрепление поддерживается с помощью фоновых служб и трансляций при запуске. Они значительно расширяют свои возможности по сбору данных, используя Изучение файлов и каталогов, а также детальное Изучение системы.

#ParsedReport #CompletenessHigh
04-10-2025

RomCom Threat Actor Evolution (20232025)

https://www.picussecurity.com/resource/blog/romcom-threat-actor-evolution

Report completeness: High

Actors/Campaigns:
Void_rabisu (motivation: cyber_espionage)
Deceptive_prospect
Unk_greensec

Threats:
Romcom_rat
Snipbot
Rustyclaw
Mythic_c2
Spear-phishing_technique
Slipscreen
Com_hijacking_technique
Dustyhammock
Shadyhammock
Meltingclaw
Dll_hijacking_technique
Transferloader
Cuba_ransomware
Dllsearchorder_hijacking_technique
Smbexec_tool
Wmiexec_tool

Victims:
Government entities, Enterprises

Industry:
Critical_infrastructure, Government, Retail, Aerospace, Entertainment, Logistic

Geo:
America, Canada, Ukraine, Russia, Russian, Ukrainian, Poland

CVEs:
CVE-2023-36884 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-8088 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-49039 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-9680 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 9
Technics: 14

IOCs:
Domain: 2
Url: 1
Email: 1
Registry: 1
File: 3
Hash: 1

Soft:
ChatGPT, Microsoft Word, Firefox, Microsoft OneDrive, Windows Registry

Algorithms:
sha256, xor

Win API:
RegOpenKeyExA

Languages:
swift, rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленник RomCom, также известный как Storm-0978, превратился в сложную структуру, использующую значительные уязвимости, в частности WinRAR zero-day CVE-2025-8088, для развертывания различных бэкдоров вредоносного ПО, таких как SnipBot, RustyClaw и Mythic Agent. . Их тактика включает социальную инженерию для первоначального доступа и использование многоступенчатых загрузчиков и скрытных крыс, таких как SnipBot, для постоянного контроля. Расширение масштабов глобальных операций и сотрудничество с другими хакерскими группировками расширяет их возможности, что делает RomCom заметной киберугрозой к 2025 году.
-----

Злоумышленник RomCom, также известный как Storm-0978, Tropical Scorpius и Void Rabisu, превратился из региональной группы кибершпионажа в сложную гибридную организацию, которая, как ожидается, станет все более опасной к 2025 году. Эта эволюция предполагает использование значительных уязвимостей, в частности уязвимости WinRAR zero-day CVE-2025-8088, которая классифицируется как ошибка обхода пути с оценкой CVSS 8,4. Эта уязвимость позволила внедрить различные бэкдоры вредоносного ПО, включая SnipBot, RustyClaw и Mythic Agent.

Методология атак RomCom охватывает широкий спектр тактик, техник и процедур (TTP), демонстрирующих их способность действовать на протяжении всей цепочки атак. Первоначальный доступ в основном достигается с помощью тактики социальной инженерии и Имперсонации, демонстрируя предпочтение более инновационным и ориентированным на человека подходам к проникновению в системы. Примечательной характеристикой RomCom является их частое использование неопубликованных уязвимостей, поведение, которое соответствует APT группировка.

Как только они получают доступ, RomCom внедряет стратегически разработанные многоступенчатые загрузчики наряду со сложными методами обхода, чтобы поддерживать закрепление в скомпрометированных системах. Бэкдоры DustyHammock и ShadyHammock занимают центральное место в этой стратегии, функционируя не просто как отдельные имплантаты, а как ключевые компоненты более масштабной шпионской операции. В их арсенале есть бэкдор SnipBot, также известный как RomCom 5.0 или SingleCamper, который действует как троян удаленного доступа с высокой степенью скрытности (RAT), предназначенный для долгосрочного контроля и долговечности работы. Его функции безопасности включают в себя усовершенствованные методы обфускации кода, в частности новый алгоритм обфускации потока управления на основе оконных сообщений.

К 2024 году RomCom внедрила гибридную модель атаки, проводя двойные операции: длительный шпионаж против правительственных секторов и нацеленные на монетизацию нарушения, нацеленные на предприятия. Их географический охват вышел за пределы их прежних региональных границ, распространившись на Северную Америку, Европу и другие регионы, что еще больше укрепило их статус глобального злоумышленника.

Сотрудничество между хакерскими группировками расширяет возможности RomCom, указывая на взаимосвязанный ландшафт киберугроз. По мере развития стратегий киберзащиты такие организации, как Picus, помогают, имитируя TTP RomCom с использованием постоянно обновляемой библиотеки угроз, помогая организациям выявлять уязвимости в своих инфраструктурах безопасности до того, как ими смогут воспользоваться злоумышленники.

#ParsedReport #CompletenessLow
30-09-2025

CABINETRAT Backdoor used by UAC-0245 for targeted cyberattacks against IAs (CERT-UA#17479)

https://cert.gov.ua/article/6285549

Report completeness: Low

Actors/Campaigns:
Uac-0245
Sandworm

Threats:
Cabinetrat
Sandbox_evasion_technique
Antidebugging_technique

Victims:
Information agencies

Industry:
Critical_infrastructure

Geo:
Ukraine

ChatGPT TTPs:
do not use without manual check
T1204.002, T1566.002

IOCs:
File: 12
Registry: 10
Hash: 44
Path: 5
Command: 1
IP: 2

Soft:
Windows registry, VirtualBox, QEMU, Hyper-V

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Бэкдор CABINETRAT, используемый злоумышленником UAC-0245, облегчает несанкционированный доступ и контроль над системами при целенаправленных атаках. Недавние инциденты связаны с распространением Вредоносного файла, замаскированного под документ пограничной службы, через приложение для обмена сообщениями Signal, демонстрирующее стратегические методы социальной инженерии актора. Вредоносное ПО, вероятно, включает в себя функции для эксфильтрации данных, обмена командами и контролем, а также перемещения внутри компании в сетях, что отражает распространенные возможности бэкдора.
-----

Бэкдор CABINETRAT был идентифицирован как вредоносный инструмент, используемый хакерской группировкой UAC-0245 для целенаправленных атак на информационные ресурсы (IAS). Последние разведывательные данные указывают на конкретный инцидент, когда файл с именем "500.zip " был распространен через приложение для обмена сообщениями Signal. Этот файл был замаскирован под документ, связанный с задержанием лиц, пытавшихся пересечь государственную границу Украины, что указывает на стратегический подход к социальной инженерии со стороны злоумышленника.

CABINETRAT, вероятно, служит для облегчения несанкционированного доступа и контроля над скомпрометированными системами, позволяя UAC-0245 выполнять дальнейшие вредоносные действия после заражения. Тактика внедрения вредоносного ПО в, казалось бы, безобидные документы подчеркивает растущую тенденцию в кибератаках, когда злоумышленники используют текущие события или конфиденциальные темы, чтобы заманить жертв к открытию вредоносных файлов. Этот конкретный подход не только подчеркивает намерение актора нацелиться на лиц, связанных с безопасностью границ, но и демонстрирует методичную стратегию нацеливания, типичную для искушенных злоумышленников.

По мере развития ситуации с использованием CABINETRAT организациям по-прежнему крайне важно сохранять бдительность, внедрять надежные меры кибербезопасности и информировать персонал о рисках, связанных с нежелательными файлами и обманчивыми методами обмена сообщениями. Точные методы, используемые при развертывании CABINETRAT, хотя и не детализированы в отчете, указывают на общие функциональные возможности бэкдора, которые обычно включают эксфильтрацию данных, командную связь и средства управления, а также перемещение внутри компании в сетях.

#ParsedReport #CompletenessLow
04-10-2025

Malvertising Campaign Hides in Plain Sight on WordPress Websites

https://blog.sucuri.net/2025/10/malvertising-campaign-hides-in-plain-sight-on-wordpress-websites.html

Report completeness: Low

Victims:
Wordpress websites, Website visitors

ChatGPT TTPs:
do not use without manual check
T1059.007, T1071.001, T1105, T1190, T1583.001, T1584.004, T1608.004, T1659

IOCs:
File: 1
Domain: 2
Url: 2

Soft:
WordPress, cPanel

Functions:
ti_custom_javascript

Languages:
php, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была обнаружена кампания Вредоносной рекламы, нацеленная на несколько веб-сайтов WordPress, где был загружен несанкционированный JavaScript, который действовал как удаленный загрузчик, извлекающий вредоносный контент с сервера управления по адресу hxxps://brazilc.com/ads.php . PHP-код выполнил запрос POST, введя ответы в раздел HTML head, что привело к вредоносному ПО drive-by, которое отображало поддельные запросы на проверку и потенциально скомпрометированные пользовательские данные. Этот инцидент подчеркивает риск того, что злоумышленники могут манипулировать темами WordPress для внедрения вредоносного кода, создавая угрозы как целостности веб-сайта, так и безопасности посетителей.
-----

Недавнее расследование выявило кампанию Вредоносной рекламы, затронувшую несколько веб-сайтов WordPress, на которые загружался несанкционированный JavaScript без согласия владельца сайта. Этот JavaScript, идентифицированный по меньшей мере на 17 веб-сайтах в ходе анализа, действовал как удаленный загрузчик, который извлекал вредоносный контент с сервера командования и контроля (C&C), специально размещенного по адресу hxxps://brazilc.com/ads.php . Механизм включал в себя PHP-код, инициирующий POST-соединение с сервером C&C и впоследствии вводящий ответ сервера в головной раздел HTML-документа.

Присутствие вредоносного ПО drive-by было значительным, поскольку посетители сталкивались с фальсифицированным контентом, таким как поддельные запросы на проверку CloudFlare, что могло привести к дальнейшему использованию или компрометации пользовательских данных. Эта ситуация иллюстрирует, как злоумышленники могут манипулировать, казалось бы, безобидными изменениями в темах WordPress для внедрения внешнего вредоносного кода, тем самым угрожая целостности посетителей веб-сайта.

Для предотвращения подобных атак администраторам веб-сайтов крайне важно постоянно обновлять все плагины, темы и базовое программное обеспечение. Необходимо регулярно вносить исправления для устранения известных уязвимостей. Для обнаружения любых признаков бэкдоров, SEO-спама или вредоносных программ необходимо последовательно выполнять сканирование как на стороне сервера, так и на стороне клиента. Использование надежных уникальных паролей для всех точек доступа, включая sFTP, базы данных и учетные записи администраторов, может значительно повысить безопасность.

Более того, мониторинг журналов на предмет любых необычных или подозрительных действий и использование системы мониторинга целостности файлов могут еще больше усилить защиту. Рекомендуется использовать брандмауэр веб-приложений (WAF) для предотвращения атак ботов, попыток брутфорса и выявления входящих угроз, что повысит общую степень защиты от этого типа Вредоносной рекламы. Этот инцидент иллюстрирует постоянный риск, связанный с незначительными изменениями кода, которые могут иметь серьезные последствия как для операторов веб-сайтов, так и для их посетителей.

#ParsedReport #CompletenessMedium
30-09-2025

0day .ICS attack in the wild

https://strikeready.com/blog/0day-ics-attack-in-the-wild/

Report completeness: Medium

Actors/Campaigns:
Unk_heatsink

Victims:
Email service users, Zimbra server users

Industry:
Ics, Military

Geo:
Russian, Libyan, Spanish, Portuguese, Brazil

CVEs:
CVE-2025-27915 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1041, T1071.001, T1114

IOCs:
IP: 1
Url: 1
Email: 1
Hash: 1

Soft:
Zimbra, Roundcube, Outlook

Algorithms:
base64

Functions:
createHiddenFieldsForUsernameAndPasswordCapturing, stealUsernameAndPasswordFromLoginForm, startActivityMonitoring, isMetadataLoaded, setMetadataLoaded, searchForEmailsInFolderAndSendToAttackerServer, addMaliciousFilters, stealScratchCodeTrustedDevicesGetAppSpecificPasswords, stealContactsAndDistributionLists, stealSharedFolders, have more...

Languages:
javascript

Links:
https://github.com/StrikeReady-Inc/research/tree/main/2025-09-29%20ics%200day

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новая атака zero-day, нацеленная на промышленные системы управления (ICS), использует нераскрытые уязвимости, что указывает на возможности изощренного злоумышленника. Кроме того, функция взаимодействия с сервером Zimbra использует SOAP API для поиска и эксфильтрации электронных писем, демонстрируя методичный подход к краже данных. Этот инцидент подчеркивает риски, связанные с удаленным выполнением кода и несанкционированным доступом к данным посредством законных взаимодействий с сервером.
-----

Появилась атака zero-day, нацеленная на промышленные системы управления (ICS), что указывает на значительную угрозу в киберпространстве. Эта атака использует ранее неизвестные уязвимости, которые еще предстоит раскрыть или исправить поставщикам программного обеспечения, что делает затронутые системы особенно уязвимыми. Характер атаки предполагает наличие изощренного злоумышленника, способного использовать эти уязвимости в злонамеренных целях.

В связанной операции сообщалось о функции, предназначенной для взаимодействия с сервером Zimbra. Эта функция использует API Simple Object Access Protocol (SOAP) для выполнения поиска электронных писем в определенной папке на почтовом сервере Zimbra. Этот процесс включает в себя получение идентификаторов электронной почты, а также содержимого этих электронных писем. Впоследствии эта информация отправляется злоумышленнику, демонстрируя методичный подход к эксфильтрации данных.

Используемый метод указывает на хорошо спланированное использование тактики удаленного выполнения кода или извлечения данных, которая использует существующие серверные сервисы. Использование SOAP-запросов для несанкционированного доступа к информации является примером потенциального вектора, с помощью которого злоумышленники могут вести наблюдение или собирать конфиденциальные данные из скомпрометированных систем. Таким образом, эта атака подчеркивает необходимость для организаций внедрять надежные меры безопасности, поддерживать обновленные системы и внимательно следить за своей сетевой активностью, чтобы снизить риск, связанный как с уязвимостями zero-day, так и с целенаправленным сбором данных посредством законных взаимодействий с сервисами.

#ParsedReport #CompletenessHigh
02-10-2025

XWorm V6: Exploring Pivotal Plugins

https://www.trellix.com/blogs/research/xworm-v6-exploring-pivotal-plugins/

Report completeness: High

Actors/Campaigns:
Xcoder

Threats:
Xworm_rat
Darkcloud
Houdini_rat
Snake_keylogger
Shadowsniff_stealer
Phantom_stealer
Phemedrone
Remcos_rat
Pulsar_rat
Weevilproxy
Ilprotector_tool
Dll_injection_technique
Nocry
Celestialrat
R77rk_tool
Process_injection_technique
Process_hollowing_technique

Geo:
Chinese

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1012, T1027, T1036, T1041, T1055, T1055.012, T1056.001, T1057, T1059.001, T1059.003, have more...

IOCs:
Domain: 1
File: 29
IP: 1
Registry: 3
Path: 2
Url: 2
Hash: 22

Soft:
Telegram, Windows security, Chromium, Chrome, Torch, CocCoc, Xvast, Microsoft Edge Chromium, Blisk, Nichrome, have more...

Wallets:
metamask

Algorithms:
aes, base64, zip, aes-cbc, sha512, md5, sha256, gzip

Functions:
Run, CloseScreen, RunRecovery, GetDrives, CloseFM, ENC, Dec

Win API:
ARC, GetExtendedTcpTable, LoadLibrary, checkRemoteDebuggerPresent

Languages:
rust, javascript, powershell

Platforms:
x86

Links:
have more...
https://github.com/eastonkurth/xworm-rce
https://github.com/ElektroKill/ILPUnpack

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
XWorm версии 6.0, выпущенный в июне 2025 года, представляет собой универсальный набор инструментов для вредоносного ПО, развертываемый с помощью вредоносного JavaScript, который загружает скрипт PowerShell для отключения Windows AMSI для уклонения. Он использует многоэтапную атаку, чтобы внедрить своего клиента в законные процессы, и подключается к серверу C2, используя ключ шифрования для связи. Инструментарий поддерживает более 35 плагинов для таких задач, как кража учетных данных, атаки программ-вымогателей с использованием шифрования AES-CBC, и демонстрирует возможности динамического взаимодействия, что указывает на меняющийся ландшафт угроз.
-----

XWorm, первоначально идентифицированный в 2022 году как универсальный инструментарий для защиты от вредоносного ПО, эволюционировал с недавним выпуском XWorm версии 6.0 4 июня 2025 года. Эта версия якобы устраняла ранее известную уязвимость удаленного выполнения кода (RCE) и с тех пор завоевала популярность среди киберпреступников, благодаря многочисленным образцам, обнаруженным в дикой природе. Вредоносное ПО часто развертывается с помощью вредоносных файлов JavaScript, которые после выполнения загружают и запускают скрипт PowerShell. Этот сценарий PowerShell, который отключает интерфейс сканирования Windows Anti-Malware (AMSI) для уклонения от обнаружения, впоследствии подготавливает инструмент инжектора для доставки клиента XWorm.

Процесс атаки разворачивается в три этапа, начиная с файла JavaScript, который загружает скрипт PowerShell, который управляет внедрением клиентского кода XWorm в законный процесс, такой как RegSvcs.exe . После активации клиент XWorm устанавливает соединение со своим сервером управления (C2) по IP-адресу 94.159.113.64, используя для связи ключ шифрования "P0WER".

XWorm V6 включает в себя обширные возможности плагинов, позволяющие операторам выполнять различные вредоносные задачи в зараженных системах, от кражи учетных данных до внедрения программ-вымогателей. Вредоносное ПО обеспечивает закрепление с помощью нескольких методов, включая сценарии входа в систему и записи реестра, чтобы гарантировать автоматический запуск при входе пользователя в систему или перезагрузке системы. Кроме того, архитектура XWorm обеспечивает динамическое взаимодействие, благодаря которому операторы могут использовать функцию автозадачи или выполнять команды вручную.

Функциональные возможности плагинов XWorm's включают возможности управления файлами (например, загрузку, копирование и удаление файлов), удаленный доступ к рабочему столу и функции программ-вымогателей, которые шифруют целевые файлы с помощью шифрования AES-CBC, удаляя оригиналы. Примечательно, что плагин-вымогатель работает аналогично программе-вымогателю NoCry, указывая на возможное перекрытие кода, что предполагает общее происхождение или технику. Разработка более 35 плагинов демонстрирует адаптивную природу вредоносного ПО со специальными функциями, предназначенными для управления защитой системы и участия в различных кибератаках, включая эксфильтрацию данных и шифрование файлов.

Недавний анализ выявил продолжающиеся попытки взломать и модифицировать конструктор XWorm версии 6.0, что указывает на растущую доступность среди злоумышленников, стремящихся внедрить этот инструментарий вредоносного ПО. Последствия XWorm V6 подчеркивают постоянный и эволюционирующий ландшафт угроз, подчеркивая необходимость постоянной бдительности в отношении такого сложного и модульного вредоносного программного обеспечения.

#ParsedReport #CompletenessMedium
03-10-2025

CN APT targets Serbian Government

https://strikeready.com/blog/cn-apt-targets-serbian-government/

Report completeness: Medium

Threats:
Plugx_rat

Victims:
Serbian government, Government, Aviation

Industry:
Aerospace, Government

Geo:
Netherlands, Italy, Hungary, Serbian, Serbia, Belgium

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566.001

IOCs:
Domain: 8
Hash: 16
Url: 4

Soft:
CamScanner

Algorithms:
xor, zip

Languages:
php, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания spear phishing, приписываемая группе CN по борьбе с сложнейшими целенаправленными угрозами, была нацелена на департамент гражданской авиации Сербии, что отражает постоянный интерес актора к аналогичным атакам по всей Европе. Компания CN известна сложной целенаправленной угрозой использования набора инструментов sogu/plugx/korplug во время реальных вторжений, что было постоянным элементом их деятельности на протяжении последнего десятилетия. Эти атаки в первую очередь мотивированы шпионажем, что подчеркивает значительную направленность на сбор разведывательных данных, а не на финансовую выгоду.
-----

Недавно целенаправленная кампания по spear phishing, приписываемая злоумышленнику, идентифицированному как CN сложная целенаправленная угроза, была направлена против правительственного департамента Сербии, занимающегося авиацией. Эта деятельность является частью более широкой модели, наблюдаемой в других европейских странах, что указывает на устойчивый интерес одного и того же актора к проведению аналогичных атак по всему региону. Группа CN, занимающаяся наисложнейшими целенаправленными угрозами, придерживается отличительного метода работы, преимущественно используя набор инструментов sogu/plugx/korplug для своих оперативных вторжений. Этот конкретный набор инструментов стал отличительной чертой их деятельности, демонстрируя последовательность в их подходе на протяжении последнего десятилетия.

Мотивы, стоящие за этими атаками, в первую очередь связаны со шпионажем, за редким исключением - финансовая выгода. Эта модель усиливает представление о том, что злоумышленники CN в основном сосредоточены на сборе разведывательных данных, а не на киберпреступлениях, ориентированных на получение прибыли. В целом, деятельность CN, сложная целенаправленная угроза, является примером постоянной угрозы в рамках европейского правительственного ландшафта, особенно нацеленной на чувствительные секторы. Последствия таких вторжений подчеркивают необходимость повышения бдительности и принятия стратегических защитных мер против сложных целенаправленных угроз (APT) в сфере государственной кибербезопасности.