#ParsedReport #CompletenessMedium
08-10-2025

APT PROFILE HAFNIUM

https://www.cyfirma.com/research/apt-profile-hafnium/

Report completeness: Medium

Actors/Campaigns:
Hafnium (motivation: cyber_espionage)

Threats:
Covenant_tool
Impacket_tool
Nishang_tool
Powercat_tool
Chinachopper
Aspxspy_shell
Tarrask
Plugx_rat
Whitebird
Seo_poisoning_technique
Password_spray_technique
Credential_dumping_technique

Victims:
Critical sectors, Supply chains, Iot networks, Cloud services, Sharepoint servers

Industry:
Iot, Healthcare, Education, Government

Geo:
Japan, United kingdom, Australia, Vietnam, Mexico, America, China, Chinese

CVEs:
CVE-2021-26855 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2020-0688 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 13
Technics: 44

Soft:
Microsoft SharePoint, PsExec

Languages:
powershell

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Hafnium - это спонсируемая китайским государством сложная целенаправленная угроза, связанная с Министерством государственной безопасности, нацеленная на глобальную критически важную инфраструктуру с помощью передовых методов кибершпионажа. Их недавние действия включают использование уязвимости Microsoft SharePoint для компрометации тысяч серверов и смещение акцента на угрозы Цепочки поставок и Интернета вещей. Группа использует поисковую систему SEO poisoning ( employso employs, чтобы направлять пользователей на вредоносные загрузки, и использует многоуровневую контрактную модель для разработки сложных инструментов кибератак, усложняющих атрибуцию атак.
-----

Hafnium - это спонсируемая китайским государством APT группировка, связанная с Министерством государственной безопасности (MSS). Известный своими изощренными усилиями по кибершпионажу, Hafnium нацелен на критически важные сектора инфраструктуры по всему миру. Группа использует передовые методы атак и часто сотрудничает с технологическими фирмами по контракту для расширения своих оперативных возможностей.

Одно из недавних значительных действий, приписываемых Hafnium, связано с использованием уязвимости в Microsoft SharePoint. Этот конкретный недостаток позволил группе скомпрометировать тысячи серверов, продемонстрировав свою способность использовать конкретные уязвимости программного обеспечения для широкомасштабного воздействия. В дополнение к SharePoint недавние кампании Hafnium уделяли особое внимание угрозам Цепочки поставок и Интернета вещей (IoT), отмечая заметный сдвиг в сторону этих областей. Группа использует тактику Отравления поисковой оптимизации (SEO) для манипулирования результатами поисковой системы, направляя пользователей по ссылкам для скачивания вредоносного программного обеспечения, тем самым способствуя дальнейшему заражению.

Hafnium работает по многоуровневой контрактной модели, в рамках которой она сотрудничает с номинально частными китайскими фирмами для разработки специализированных инструментов кибератак. Такой сетевой подход не только усложняет приписывание атак Hafnium, но и предоставляет группе разнообразный и сложный инструментарий для проведения операций. Их сосредоточенность на постоянном сборе разведывательной информации с помощью скомпрометированных Цепочек поставок и сетей Интернета вещей указывает на стратегическую цель обеспечения устойчивого доступа к критически важным данным и системам.

#ParsedReport #CompletenessLow
08-10-2025

The Exploitation of Legitimate Remote Access Tools in Modern Ransomware Campaigns

https://www.seqrite.com/blog/exploiting-legitimate-remote-access-tools-in-ransomware-campaigns/

Report completeness: Low

Threats:
Anydesk_tool
Ultraviewer_tool
Rustdesk_tool
Clonedesk_tool
Splashtop_tool
Wevtutil_tool
Shadow_copies_delete_technique
Lolbin_technique
Lockbit
Targetcompany
D3adcrypt
Makop
Phobos
Dharma
Shinra_ransomware
Medusalocker
C3rb3r
Lolkek
Spiderprey
Ryuk
Lockxxx
Ransomhub
Proxima

TTPs:
Tactics: 7
Technics: 7

IOCs:
Path: 2
File: 5
Registry: 1

Soft:
AppAnywhere, TightVNC

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Современные кампании программ-вымогателей используют законные ПО для удаленного доступа (RATs) для усиления своих атак, следуя многоэтапному процессу, известному как цепочка уничтожения программ-вымогателей. Злоумышленники обычно получают первоначальный доступ путем компрометации учетных данных с помощью атак методом перебора на RDP и SMB, часто нацеливаясь на учетные записи администраторов. Оказавшись внутри, они устанавливают постоянный контроль, изменяя ключи реестра и запланированные задачи, в конечном счете внедряя программы-вымогатели, сводя к минимуму обнаружение с помощью таких тактик, как отключение мер безопасности и использование двоичных файлов Living-off-the-Land.
-----

Современные кампании вымогателей превратились во все более изощренные угрозы, которые используют законные ПО для удаленного доступа (RATs) для улучшения своих стратегий атак. Эти злоумышленники выполняют многоэтапный процесс атаки, известный как цепочка уничтожения программ-вымогателей, который включает в себя ряд методов, направленных на получение первоначального доступа, постоянный контроль и, в конечном счете, выполнение самой полезной нагрузки программ-вымогателей.

На этапе первоначального доступа злоумышленники часто компрометируют учетные данные с помощью атак методом перебора на конечные точки Протокола удаленного рабочего стола (RDP) и Server Message Block (SMB), иногда используя повторное использование учетных данных в результате предыдущих утечек. Основное внимание уделяется настройке учетных записей администраторов для эффективного получения максимальных привилегий. Как только доступ получен, злоумышленники используют RAT, что позволяет им действовать скрытно, перехватывая существующие сеансы или устанавливая инструменты незаметно, не вызывая подозрений. Это достигается с помощью таких методов, как перечисление установленных RATs и изменение конфигураций для включения учетных данных злоумышленника, при этом избегается создание новых файлов или процессов, которые могли бы сигнализировать об их присутствии.

Обеспечение закрепления и консолидации привилегий имеет решающее значение в этих кампаниях. Злоумышленники изменяют ключи Изменения реестра и запланированные задачи, чтобы гарантировать автоматический запуск RATs даже после перезагрузки системы. Они могут повысить привилегии, запустив RATs как систему, чтобы получить более высокие уровни доступа. Кроме того, они часто манипулируют политиками безопасности и отключают антивирусное программное обеспечение, создавая среду, благоприятствующую их деятельности, и сводя к минимуму риск обнаружения.

На этапе развертывания полезной нагрузки злоумышленники усиливают свои операции, отключая меры безопасности, очищая журналы событий и используя двоичные файлы Living-off-the-Land (LOLBins), такие как PowerShell, для выполнения вредоносных команд. Эта тактика скрывает их действия в сети, способствуя успешному внедрению программ-вымогателей, которые впоследствии шифруют критически важные организационные данные. Эти действия завершаются изменением учетных данных для RATs, чтобы предотвратить административное исправление, и эффективной блокировкой учетных записей, которая может помешать усилиям по восстановлению.

Варианты программ-вымогателей, такие как LockBit и Black, иллюстрируют эти методики в реальных атаках. По мере развития этих операций они все больше характеризуются автоматизацией и использованием облачных технологий, что свидетельствует об изменении ландшафта угроз.

Чтобы противостоять рискам, связанным со злоупотреблениями RAT в программах-вымогателях, организации должны применять многоуровневый подход к защите, который объединяет механизмы управления, мониторинга и быстрого реагирования. Сопоставляя тактику, методы и процедуры, используемые противниками, с такими платформами, как MITRE ATT&CK, команды безопасности могут лучше подготовиться к защите от этих развивающихся угроз.

#ParsedReport #CompletenessLow
08-10-2025

New CipherWolf RaaS, Oracle EBS 0Day Exploit & Money Laundering Service Detected on Hacker Forums

https://socradar.io/cipherwolf-raas-oracle-ebs-0day-money-laundering-service-hacker-forums/

Report completeness: Low

Threats:
Cipherwolf
Blitz_tool
Shadow_copies_delete_technique

Victims:
Industrial machinery and equipment sector, Google email users, Windows systems users

Geo:
United kingdom

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1486, T1489, T1490, T1588

Soft:
Telegram, Active Directory

Languages:
rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние результаты выявили новую программу-вымогатель как услугу (RaaS) под названием CipherWolf, которая использует полезную нагрузку на основе Rust для нацеливания на системы Windows и включает такие функции, как автоматическая передача файлов, удаление shadow copy и завершение процесса для облегчения шифрования. Кроме того, появился эксплойт zero-day для Oracle E-Business Suite, классифицированный как эксплойт N-го дня, повышающий значительный риск для непатентованных систем. Другие угрозы включают эксплойт, предназначенный для облегчения атак социальной инженерии, нацеленных на Адреса эл. почты Google, и несанкционированный доступ к VPN для британской промышленной фирмы, освещающий различные киберугрозы на хакерских форумах.
-----

Недавние наблюдения команды SOCRadar из Dark Web выявили несколько существенных угроз и сервисов, предлагаемых на хакерских форумах, в частности, появление новой программы-вымогателя как услуги (RaaS) под названием CipherWolf и эксплойт zero-day для Oracle E-Business Suite.

CipherWolf вызывает особое беспокойство, поскольку он якобы содержит полезную нагрузку, разработанную в Rust, что позволяет ему нацеливаться на все системы Windows. RaaS предоставляет аффилированным лицам всеобъемлющую веб-панель мониторинга, которая управляет различными аспектами кампаний вымогателей, включая данные о жертвах, списки устройств и распределение доходов. Заслуживающие внимания функциональные возможности CipherWolf включают автоматическую передачу зашифрованных файлов на выделенный сервер, удаление shadow copies и резервных копий, завершение нескольких процессов для облегчения шифрования и возможность работы в средах рабочей группы и Active Directory. Рекламируемая модель распределения прибыли обеспечивает партнерам доход в размере от пяти до десяти процентов, с вводным предложением в размере одного процента для первых трех партнеров, что предполагает агрессивный маркетинговый подход к быстрому привлечению пользователей.

Кроме того, обнаружился непроверенный эксплойт, нацеленный на Oracle E-Business, классифицированный как эксплойт N-day, сигнализирующий о высоком уровне беспокойства, поскольку он может быть использован против уязвимых систем без исправления. Кроме того, было обнаружено сообщение с подробным описанием эксплойта, нацеленного на Адреса эл. почты Google. Утверждается, что этот эксплойт помогает в проведении атак социальной инженерии и распространении мошеннических предупреждений в более широком масштабе, что еще раз подчеркивает постоянную необходимость проявлять бдительность в отношении целенаправленного фишинга и попыток подмены.

Более того, была обнаружена продажа несанкционированного VPN-доступа британской фирме по производству промышленного оборудования. Компания, которая может похвастаться значительным годовым доходом и численностью персонала, подчеркивает привлекательность таких целей для злоумышленников, стремящихся получить доступ к ценным данным и инфраструктуре.

Недавняя активность на этих хакерских форумах иллюстрирует растущую изощренность и разнообразие киберугроз, что требует повышенной осведомленности и принятия упреждающих мер безопасности среди организаций для предотвращения потенциальных компрометаций и утечек данных.

#ParsedReport #CompletenessHigh
08-10-2025

The Crown Prince, Nezha: A New Tool Favored by China-Nexus Threat Actors

https://www.huntress.com/blog/nezha-china-nexus-threat-actor-tool

Report completeness: High

Threats:
Nezha_tool
Gh0st_rat
Chinachopper
Antsword
Winrm_tool
Runningrat
Procmon_tool
Zhong_stealer

Victims:
Government, Defense, Critical infrastructure, Technology sector, Media

Industry:
Energy, Telco, Healthcare

Geo:
Ireland, Angola, Finland, Argentina, Nepal, Philippines, Chinese, Peru, Zambia, Sri lanka, Saudi arabia, Russian, Indonesia, Bosnia and herzegovina, Morocco, China, America, Greece, Georgia, Laos, Malaysia, Belgium, Germany, Kenya, India, Serbia, Korea, France, Thailand, Nigeria, Colombia, Kazakhstan, Canada, Tanzania, Australia, Taiwan, Vietnam, Pakistan, Hong kong, Mongolia, Mexico, Tibetan, Slovakia, Chile, Portugal, United arab emirates, Singapore, United kingdom, Arab emirates, Japan, Bangladesh, Guatemala, Russia, Brazil

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1055, T1059.001, T1059.003, T1105, T1106, T1190, T1505.003, T1562.001

IOCs:
IP: 4
Hash: 6
File: 9
Path: 7
Url: 1
Domain: 5
Command: 1

Soft:
phpMyAdmin, MariaDB, curl, openWRT, Windows Defender, SQLlite

Algorithms:
sha256

Functions:
MainThread

Win API:
GetProcAddress, SeDebugPrivilege

Languages:
powershell, php, swift, python

Links:
https://github.com/nezhahq/nezha
have more...
https://github.com/AntSwordProject/antSword/blob/6112ab2c3f6dceda68421cf02ca2dc43a940a01f/source/modules/terminal/index.js#L461

#ParsedReport #ExtractedSchema

Classified images:
windows: 4, code: 14, table: 1, schema: 1, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Инструмент Nezha выявляет продвинутые киберугрозы от акторов China-nexus, функционирующих как инструмент удаленного мониторинга и управления (RMM) для несанкционированного доступа к системе и компрометации стратегических веб-сайтов. В первоначальном доступе использовалась панель phpMyAdmin на серверах Apache с последующим развертыванием Веб-шелла и скрипта PowerShell для управления защитником Windows, что в конечном итоге привело к созданию сложной полезной нагрузки Ghost RAT. Атака указывает на географическую направленность на регионы Восточной Азии в условиях геополитической напряженности, раскрывая сложные методологии и механизмы командования и контроля, используемые этими злоумышленниками.
-----

Появление инструмента Nezha иллюстрирует меняющийся ландшафт киберугроз, приписываемых акторам, связанным с Китаем. Nezha представляет собой инструмент удаленного мониторинга и управления (RMM), используемый для получения несанкционированного доступа к системам, порчи веб-сайтов и проведения стратегических компрометаций веб-сайтов, нацеленных на конкретных лиц. Точка первоначального доступа для этих акторов была идентифицирована с помощью журналов с веб-серверов Apache, что указывает на то, что вход был осуществлен через панель phpMyAdmin.

Развертывание Веб-шелла было выполнено быстро, что продемонстрировало владение актором синтаксисом SQL, что свидетельствует об уровне опыта, характерном для опытных злоумышленников. Кроме того, предупреждение от веб-сервера Apache указывало на то, что определенный дочерний процесс был выполнен одновременно с запросом POST к Веб-шеллу PHP. Такое поведение отражало возможности виртуального терминала, обычно связанные с инструментом AntSword, который часто используется для выполнения веб-команд.

Анализ скомпрометированных систем показал географическую сосредоточенность на таких регионах, как Тайвань, Япония, Южная Корея и Гонконг, что отражает геополитическую напряженность в регионе, особенно связанную со спорами по поводу Восточно-Китайского моря и проблемами, связанными с Гонконгом и материковым Китаем.

Как только агент Nezha был развернут, он упростил выполнение интерактивного сценария PowerShell для создания исключений в защитнике Windows, тем самым обеспечив плавное внедрение дополнительного исполняемого файла, называемого x.exe . Этот исполняемый файл функционирует как загрузчик вредоносной библиотеки DLL, которая запускается с помощью CxxThrowException для выполнения встроенного кода. Последующий этап dropper отвечает за настройку и запуск конечной полезной нагрузки Ghost RAT, которая является удивительно сложной и использует такие методы, как реверсирование сохраненных исполняемых файлов и динамическое разрешение функций WinAPI.

Дополнительные расследования выявили поддомены, подключенные к инфраструктуре командования и контроля (C2) злоумышленника, включая один поддомен, ведущий к IP-адресу, связанному с технологией маршрутизатора OpenWRT и операционной системой NAS, распространенной в материковом Китае. Уникальная строка учетных данных для входа, найденная в ходе этого анализа, заслуживает дальнейшего изучения, поскольку она может дать дополнительную информацию о методах работы этих злоумышленников.

Учитывая эти изменения, защитникам крайне важно расширить свои возможности по обнаружению поведения после эксплуатации, такого как создание необычных служб, наличие Веб-шеллов и подозрительных действий с исполняемыми файлами, происходящих из нетипичных каталогов. Такая бдительность необходима для выявления и снижения рисков, связанных с передовыми методами, используемыми злоумышленниками, связанными с инструментом Nezha.

#ParsedReport #CompletenessMedium
08-10-2025

Disrupting threats targeting Microsoft Teams

https://www.microsoft.com/en-us/security/blog/2025/10/07/disrupting-threats-targeting-microsoft-teams/

Report completeness: Medium

Actors/Campaigns:
Storm_1811
Storm-1674 (motivation: cyber_criminal)
Storm-2372
Carbanak (motivation: cyber_criminal, financially_motivated)
Sagrid (motivation: financially_motivated)
0ktapus (motivation: financially_motivated)
Void_blizzard
Apt33

Threats:
Roadtools_tool
Teamfiltration_tool
Email_bombing_technique
Reedbed
3am_ransomware
Blacksuit_ransomware
Teamsphisher_tool
Darkgate
Anydesk_tool
Aadinternals_tool
Credential_stealing_technique
Device_code_phishing_technique
Jssloader
Password_spray_technique
Azurehound_tool
Ad_explorer_tool
Veildrive
Brc4_tool
Convoc2
Microsoft_quick_assist_tool
Qshing_technique
Clickfix_technique
Aitm_technique

Victims:
Microsoft teams users, It support and help desk personnel, Administrators, Organizations using microsoft 365

Industry:
E-commerce

TTPs:
Tactics: 13
Technics: 0

IOCs:
File: 2

Soft:
Microsoft Teams, Microsoft Defender, Microsoft Defender for Endpoint, Microsoft Entra, Graph API, Active Directory, Office 365, Jupyter notebooks, Twitter

Algorithms:
zip

Functions:
Teams, Graph, count

Languages:
python, powershell

Platforms:
intel

Links:
https://github.com/sse-secure-systems/TeamsEnum#readme-ov-file
https://github.com/copyleftdev/msft-recon-rs
have more...

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники и спонсируемые государством акторы все чаще нацеливаются на Microsoft Teams из-за ее функций совместной работы. Они проводят разведку, используя Microsoft Entra ID, выдают себя за доверенных пользователей и используют тактику социальной инженерии для получения первоначального доступа, часто с помощью мошенников из службы технической поддержки, распространяющих вредоносное ПО для кражи информации. Оказавшись внутри, злоумышленники сохраняют доступ, добавляя гостевых пользователей и создавая доверительные отношения для облегчения перемещения внутри компании, одновременно привлекая команды для эксфильтрации данных и операций управления с помощью чатов.
-----

Microsoft Teams является мишенью для киберпреступников и спонсируемых государством акторов благодаря своим функциям совместной работы.

Злоумышленники используют идентификаторы Microsoft Entra ID для разведки, перечисления объектов каталога и сопоставления пользовательских привилегий.

Имперсонация доверенных пользователей или приобретение скомпрометированных арендаторов обычно наблюдается при разработке ресурсов.

Тактики социальной инженерии и фирменные домены используются для создания авторитетных личностей в командах.

Первоначальный доступ часто связан с мошенничеством с технической поддержкой, использованием инструментов удаленного мониторинга и вредоносного ПО, похищающего информацию.

Эти методы атаки могут привести к краже учетных данных и программ-вымогателей.

Методы постоянного доступа включают добавление гостевых пользователей или учетных данных в учетные записи Teams.

Злоумышленники нацеливаются на учетные записи администраторов и пользователей, чтобы обманом заставить людей использовать Вредоносные ссылки или файлы.

Полученные токены обновления можно использовать для олицетворения пользователей и использования командных API.

AADInternals используется злоумышленниками для сбора токенов и изучения организационных конфигураций.

Перемещение внутри компании по сетям может быть достигнуто за счет использования доступа администратора для создания доверительных отношений.

Скомпрометированные учетные записи могут выдавать себя за ИТ-персонал, облегчая несанкционированный доступ в другие организации.

Хакерские группировки использовали команды для получения удаленного доступа от пользователей в других организациях.

Сбор данных часто включает в себя поиск учетных записей с высокими привилегиями и каналов совместной работы.

Инструменты используются для сбора конфиденциальных данных из разговоров и файлов команд.

Методы эксфильтрации данных обычно направляют украденные данные во внешнее облачное хранилище через систему обмена сообщениями Teams.

Операции управления могут осуществляться через командные чаты с использованием вложений в Вредоносные файлы.

Адаптация ПО для удаленного доступа позволяет устанавливать каналы управления внутри команд.

Стратегии смягчения последствий включают строгий контроль доступа, многофакторную аутентификацию и решения для защиты конечных точек.

Параметры проверки для гостевых пользователей и установленных приложений должны быть изменены, чтобы уменьшить вероятность атаки.

#ParsedReport #CompletenessMedium
08-10-2025

The ClickFix Factory: First Exposure of IUAM ClickFix Generator

https://unit42.paloaltonetworks.com/clickfix-generator-first-of-its-kind/

Report completeness: Medium

Threats:
Clickfix_technique
Deerstealer
Odyssey_stealer
Clipboard_injection_technique
Clickflix_technique

Victims:
Windows users, Macos users

Geo:
Russian, Amer

ChatGPT TTPs:
do not use without manual check
T1027, T1036.003, T1059, T1059.001, T1105, T1204.001, T1566.002, T1583.001

IOCs:
IP: 9
File: 4
Hash: 26
Domain: 37
Url: 1

Soft:
macOS, tradingview

Algorithms:
base64, sha256

Functions:
JavaScript

Languages:
powershell, javascript

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Технология ClickFix превращается в доступные наборы для фишинга, что облегчает ее использование менее квалифицированными злоумышленниками. Эти наборы манипулируют пользователями, заставляя их запускать вредоносное ПО для кражи информации с помощью тактики социальной инженерии. Недавние кампании демонстрируют специализированные страницы для фишинга, которые изобретательно имитируют проблемы безопасности, используя обнаружение операционной системой и вводящие в заблуждение команды для доставки вариантов вредоносного ПО, таких как DeerStealer и Odyssey Infostealer, что подчеркивает тревожную тенденцию в фишинге как услуге.
-----

Вредоносная технология, известная как ClickFix, превращается в легкодоступные наборы для фишинга, что позволяет более широкому кругу злоумышленников эффективно использовать ее. Этот метод социальной инженерии заставляет пользователей обходить протоколы безопасности путем ручного запуска вредоносного ПО, которое обычно предназначено для кражи информации и удаленного контроля доступа. Эта тенденция отражает более широкое явление фишинга как услуги, которое снижает уровень технических знаний, необходимых для проведения успешных атак.

Недавние расследования выявили генератор наборов для фишинга, общедоступный по IP-адресу 38.242.212.5, впервые обнаруженный 18 июля 2025 года и работавший до начала октября. Злоумышленники использовали этот набор для создания многочисленных страниц для фишинга, тематически связанных с ClickFix, которые умело имитируют проблемы проверки браузера, используемые CDN и платформами веб-безопасности. На этих страницах представлены методы индивидуального обнаружения операционной системы и механизмы копирования команд, позволяющие обманным путем заставить жертв вручную загружать и запускать полезные программы вредоносного ПО.

Две известные кампании иллюстрируют применение этого набора для фишинга. Первая, получившая название "Атака только для Windows" с использованием вредоносного ПО DeerStealer, не выявляла ОС, таким образом, нацеливаясь только на пользователей Windows без предоставления альтернативных инструкций для macOS или других систем. Вторая кампания, получившая название "Odyssey Infostealer", демонстрировала множество вариантов фишинг-страниц. В этом случае различные URL-адреса доставляли Odyssey Infostealer пользователям macOS, в то время как неустановленное вредоносное ПО было нацелено на пользователей Windows.

Варианты, ориентированные на Odyssey, демонстрировали уникальный метод доставки, при котором пользователи macOS сталкивались с командой в кодировке Base64, которая запускала загрузку Odyssey, в то время как пользователям Windows была представлена безвредная команда PowerShell. Эта команда-приманка была использована для усиления тактики социальной инженерии без высвобождения вредоносной полезной нагрузки. Команды-приманки часто использовали домены с кириллическими символами, которые визуально напоминали настоящие латинские, что еще больше усиливало их обманчивый внешний вид.

Страницы фишинга, связанные с кампанией 2, несмотря на различия в стратегиях таргетинга и методах доставки, имеют общую архитектуру, что указывает на единый источник разработки. Это включает в себя идентичные структуры HTML и согласованные соглашения об именовании в рамках их функций JavaScript.

Появление генератора ClickFix IUAM подчеркивает критическую эволюцию в ландшафте киберугроз. Это иллюстрирует, как доступные инструменты могут дать менее квалифицированным киберпреступникам возможность осуществлять сложные мультиплатформенные атаки, используя надежные методы обеспечения безопасности, что свидетельствует о тревожном сдвиге в динамике киберпреступлений.