#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была выявлена угроза кибербезопасности, связанная со 175 вредоносными пакетами npm, используемыми в кампаниях фишинга против более чем 135 организаций, в основном в промышленном, технологическом и энергетическом секторах. Эти пакеты используют npm в качестве услуги хостинга, включая скрипты, которые перенаправляют пользователей на страницы фишинга, предварительно заполняя формы входа с их Адресами эл. почты для повышения доверия. Акторы эксплуатируют unpkg.com для хостинга и применили автоматизацию с помощью скриптов на Python, что указывает на стратегический, скоординированный подход к их фишинг-атакам.
-----

Возникла серьезная угроза кибербезопасности, связанная с 175 вредоносными пакетами npm, связанными с кампаниями фишинга, нацеленными на более чем 135 организаций в различных секторах, включая промышленность, технологии и энергетику. Эти пакеты, которые были загружены более чем 26 000 раз, не выполняют вредоносный код при установке, а скорее используют npm в качестве инфраструктуры бесплатного хостинга для совершения фишинг-атак. Злоумышленники используют законный сервис CDN, unpkg.com , размещать свои ресурсы для фишинга без затрат на сервер или SSL-сертификат.

Автоматизированные инструменты, в частности скрипты на Python, были созданы злоумышленниками для облегчения их работы с несколькими пакетами npm. Примечательно, что redirect_generator.py скрипты и исполняемые файлы, скомпилированные PyInstaller, используются для автоматического перенаправления на страницы фишинга. При выполнении эти скрипты манипулируют адресом электронной почты жертвы в URL-адресе в виде фрагмента, который остается невидимым веб-серверами во время стандартных HTTP-запросов. Этот метод позволяет страницам фишинга предварительно заполнять регистрационные формы электронной почтой жертвы, что повышает достоверность атаки.

Инфраструктура фишинга использует HTML-файлы, запрограммированные для загрузки JavaScript из unpkg.com . Этот JavaScript имеет решающее значение, поскольку он инициирует перенаправление на страницы фишинга с учетными данными при доступе через веб-браузер. Для поддержания своей деятельности злоумышленники используют семь различных доменных имен для фишинга, что указывает на хорошо скоординированную кампанию. Частое появление конкретных целей, таких как хорватская промышленная организация, представленная электронной почтой sraka@hust.отдел кадров в 19 различных пакетах указывает либо на целенаправленных лиц, либо на продолжающиеся, настойчивые усилия против этой организации.

Дальнейшие исследования показали, что некоторые пакеты содержали документацию, в частности файл под названием cdn_setup_guide.txt , описывающий, как создать независимую инфраструктуру хостинга с использованием Виртуально выделенных серверов (VPS) и Nginx. Это предполагает долгосрочное стратегическое планирование, позволяющее акторам уменьшить зависимость от unpkg.com CDN с течением времени. Используемая тактика согласуется с методикой MITRE ATT&CK T1195.002, подчеркивающей компрометацию Цепочки поставок программного обеспечения как значительный вектор угрозы. В целом, этот случай иллюстрирует инновационное злоупотребление надежными системами распространения программного обеспечения для облегчения атак фишинга, подчеркивая необходимость постоянной бдительности и надежных мер безопасности в средах разработки и развертывания программного обеспечения.

#ParsedReport #CompletenessHigh
09-10-2025

New Rust Malware "ChaosBot" Uses Discord for Command and Control

https://www.esentire.com/blog/new-rust-malware-chaosbot-uses-discord-for-command-and-control

Report completeness: High

Actors/Campaigns:
Chaos_00019

Threats:
Chaosbot
Lolbin_technique
Frpc_tool

Victims:
Financial services

Industry:
Financial

Geo:
Hong kong, Vietnam, Vietnamese, Chinese, Asia pacific

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.001, T1078, T1090.001, T1102, T1140, T1204.002, T1218.011

IOCs:
Path: 2
File: 10
Hash: 37
Command: 30
Url: 9
IP: 1

Soft:
Discord, Visual Studio Code, Active Directory, Microsoft Edge, VirtualBox

Algorithms:
xor, sha256

Languages:
rust, powershell

YARA: Found

Links:
https://github.com/eSentire/iocs/blob/main/ChaosBot/ChaosBot-IoCs-09-24-2025.txt
have more...

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 5, dump: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В конце сентября 2025 года вредоносное ПО на базе Rust "ChaosBot" было обнаружено в среде финансовых служб, использующей скомпрометированные учетные данные Cisco VPN и учетную запись Active Directory для доступа. ChaosBot взаимодействует через Discord для C2 и развертывается с помощью удаленных команд с использованием Инструментария управления Windows(WMI) или кампаний фишинга с использованием вредоносных файлов ярлыков Windows. Вредоносное ПО включает конфигурацию с необходимыми идентификаторами Discord и использует такие инструменты, как быстрый обратный прокси-сервер и потенциальное туннелирование кода Visual Studio для постоянного доступа.
-----

В конце сентября 2025 года исследователи выявили вредоносное ПО на базе Rust под названием "ChaosBot", работающее в среде финансовых услуг. Это вредоносное ПО использует законные службы Discord для своих операций командования и контроля (C2), что делает его особенно сложным для обнаружения. В атаке в основном использовались скомпрометированные учетные данные, связанные с Cisco VPN, и чрезмерно привилегированная учетная запись Active Directory с надписью "serviceaccount". Злоумышленники выполняли команды удаленно по сети с помощью Инструментария управления Windows(WMI), что облегчило развертывание ChaosBot.

Альтернативный метод первоначального доступа, о котором сообщил Сабольч Шмидт, включает кампании фишинга, использующие вредоносные файлы ярлыков Windows, которые служат векторами для установки вредоносного ПО. Архитектура ChaosBot примечательна тем, что написана на Rust и использует сетевые библиотеки, такие как reqwest или serenity, для взаимодействия с Discord API. Этот вариант вредоносного ПО включает в себя определенную конфигурацию, которая содержит важные идентификаторы, включая токен Discord bot, идентификатор сервера (guild) и идентификатор канала, которые он использует для оповещения злоумышленника о новых скомпрометированных устройствах.

Злоумышленники, стоящие за ChaosBot, также использовали дополнительные инструменты для расширения своих командных возможностей. Примечательно, что они скачали быстрый обратный прокси (FRP), сохранив его как node.exe в общедоступном пользовательском каталоге, а его конфигурация хранится в файле с именем node.ini. Кроме того, они попытались настроить туннель кода Visual Studio (отмеченный SHA256: f764ff0750aab9f2fc4cd9ec90c58f1fc85ac74330fc623104d42dfaaf825103) в качестве дополнительного бэкдора для постоянного доступа. В результате анализа более двенадцати образцов ChaosBot были выявлены две конкретные учетные записи пользователей Discord, связанные с операционной деятельностью вредоносного ПО.

Чтобы помочь в обнаружении и реагировании, были разработаны правила YARA для идентификации известных вариантов ChaosBot, а также связанного с ним дроппера PowerShell, используемого совместно с вредоносным ПО.

#ParsedReport #CompletenessMedium
10-10-2025

Astaroth: Banking Trojan Abusing GitHub for Resilience

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/astaroth-banking-trojan-abusing-github-for-resilience/

Report completeness: Medium

Threats:
Astaroth
Ngrok_tool
Steganography_technique

Victims:
Banking users, Cryptocurrency users

Industry:
Financial

Geo:
Ecuador, Chile, Panama, Portugal, Mexico, Uruguay, American, Venezuela, America, Bolivia, Brazil, Argentina, Peru, Colombia, Italy, Paraguay

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1027.003, T1027.009, T1041, T1055, T1056.001, T1059.007, T1071.004, T1090, have more...

IOCs:
File: 6
Url: 15
Hash: 9
Domain: 11

Soft:
chrome

Wallets:
metamask

Crypto:
binance

Algorithms:
zip

Languages:
delphi, autoit, javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 1, code: 3, dump: 2, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Astaroth - это сложный банковский троянец, нацеленный в первую очередь на Южную Америку и некоторые европейские страны с помощью фишинг-писем, в которых используется файл быстрого доступа Windows для установки вредоносного ПО. Он использует Регистрацию нажатий клавиш для сбора конфиденциальной информации с банковских сайтов и сайтов с криптовалютами и взаимодействует с обратным прокси-сервисом Ngrok. Вредоносное ПО разработано на Delphi, использует методы антианализа и обновляет свою тактику с помощью конфигураций, размещенных на GitHub, используя Стеганографию для скрытности и закрепления.
-----

Astaroth - это сложный банковский троян, идентифицированный как серьезная угроза, нацеленный в первую очередь на пользователей в Южной Америке и некоторых европейских странах. Вредоносное ПО получает первоначальный доступ с помощью фишинг-писем, содержащих ссылку на сжатый файл ярлыка Windows (.lnk). После выполнения этот файл устанавливает вредоносное ПО Astaroth. Одной из его примечательных особенностей является его способность определять, когда пользователи посещают банковские сайты или веб-сайты с криптовалютами, используя методы Регистрации нажатием клавиш для сбора конфиденциальных учетных данных. Затем украденные данные передаются злоумышленникам через службу обратного прокси-сервера Ngrok.

Astaroth отличается тем, что использует GitHub в качестве хостинга для своих конфигурационных файлов. Эта стратегия позволяет вредоносному ПО обновлять свою тактику работы, обходя традиционные зависимости сервера командования и контроля (C2). Встраивая соответствующую информацию в изображения с помощью Стеганографии в репозиториях GitHub, Astaroth остается устойчивым к попыткам удаления. Даже когда о вредоносных репозиториях сообщается и они удаляются, вредоносное ПО может продолжать функционировать благодаря своей способности извлекать сведения о конфигурации из альтернативных источников на GitHub.

Вредоносное ПО создано на Delphi и включает в себя различные методы антианализа, предназначенные для предотвращения обнаружения и анализа, включая самоуничтожение при обнаружении среды отладки. Механизм закрепления инфекции использует ярлык, размещенный в папке автозагрузки системы, который запускает сценарий автозагрузки для повторного запуска вредоносного ПО во время загрузки системы.

Связь с его инфраструктурой C2 осуществляется с помощью пользовательских двоичных протоколов, что еще больше усложняет меры обнаружения. Данные конфигурации зашифрованы и хранятся в файле с именем dump.log, что указывает на высокий уровень изощренности вредоносного ПО в защите своих рабочих параметров.

Оперативные детали, связанные с Astaroth, включают в себя нацеливание на многочисленные страны Южной Америки, такие как Бразилия, Аргентина и Колумбия, а также на части Европы, включая Португалию и Италию. Обнаружение McAfee этой кампании привело к их сотрудничеству с GitHub для окончательного удаления вредоносных репозиториев, что временно нарушило работу Astaroth's, но указывает на продолжающуюся борьбу с такими скрытыми киберугрозами. Широкое использование вредоносным ПО законных платформ, таких как GitHub, подчеркивает эволюционирующую тактику, используемую киберпреступниками для поддержания закрепления и уклонения от обнаружения во все более защищенной цифровой экосистеме.

#ParsedReport #CompletenessLow
06-10-2025

CrowdStrike Identifies Campaign Targeting Oracle E-Business Suite via Zero-Day Vulnerability (now tracked as CVE-2025-61882)

https://www.crowdstrike.com/en-us/blog/crowdstrike-identifies-campaign-targeting-oracle-e-business-suite-zero-day-CVE-2025-61882/

Report completeness: Low

Actors/Campaigns:
Ta505
0ktapus
Lapsus
Shinyhunters

Threats:
Clop

Victims:
Oracle e business suite users

CVEs:
CVE-2025-61882 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1105, T1190, T1505.003

IOCs:
Hash: 1
Email: 2

Soft:
Telegram

Algorithms:
sha256

Languages:
java

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была выявлена активная кампания по эксплуатации, нацеленная на приложения Oracle E-Business Suite (EBS) с помощью уязвимости zero-day (CVE-2025-61882), которая позволяет выполнять удаленный код без проверки подлинности. Группа GRACEFUL SPIDER взяла на себя ответственность за утечку данных с участием Oracle EBS, используя запросы GET и POST для загрузки вредоносного шаблона XSLT, который выполняет команды и развертывает Веб-шеллы. Определенные файлы Java, включая FileUtils.java и Log4jConfigQpgsubFilter.java , были идентифицированы как компоненты вредоносной полезной нагрузки.
-----

CrowdStrike выявила активную кампанию по эксплуатации приложений Oracle E-Business Suite (EBS), использующую недавно обнаруженную уязвимость zero-day, которая теперь обозначена как CVE-2025-61882. Эта уязвимость обеспечивает удаленное выполнение кода без проверки подлинности (RCE), позволяя злоумышленникам выполнять произвольный код без необходимости аутентификации.

29 сентября 2025 года хакерская группировка, известная как GRACEFUL SPIDER, взяла на себя ответственность за утечку данных, связанную с приложениями Oracle EBS, утверждая, что они получили доступ к данным и отфильтровали их. Вскоре после этого, 4 октября 2025 года, Oracle обнародовала информацию о CVE-2025-61882. Хотя в рекомендациях Oracle не указывалось на прямое использование в дикой природе, в них содержались индикаторы компрометации (IOCs), такие как подозрительные IP-адреса и поведение файлов, что позволяет предположить, что уязвимость действительно была использована.

Механизм использования включает в себя таргетинг на менеджер шаблонов Oracle XML Publisher. Злоумышленники отправляют запросы GET и POST, направленные на определенные URL-адреса в среде EBS, в частности /OA_HTML/RF.jsp и /OA_HTML/OA.jsp. Эти запросы используются для загрузки вредоносного шаблона XSLT, который при предварительном просмотре выполняет встроенные в него команды. Этот метод позволяет развернуть Веб-шелл с определенными идентифицированными файлами Java, включая FileUtils.java в качестве загрузчика и Log4jConfigQpgsubFilter.java функционирующий как Backdoor.

Аналитики разведывательной службы CrowdStrike выражают высокую степень уверенности в том, что один или несколько злоумышленников используют эту уязвимость zero-day в рамках скоординированной кампании по эксплуатации. Они подчеркивают срочность мониторинга этих действий, о чем свидетельствует предоставление шаблона правил обнаружения для клиентов Falcon следующего поколения SIEM, который фокусируется на выявлении подозрительного поведения процессов Java, указывающего на попытки эксплуатации, нацеленные на Oracle EBS.

#ParsedReport #CompletenessLow
10-10-2025

Google details Clop extortion campaign leveraging 0-day in Oracle E-Business Suite

https://www.orangecyberdefense.com/global/blog/cert-news/google-details-clop-extortion-campaign-leveraging-0-day-in-oracle-e-business-suite

Report completeness: Low

Threats:
Clop
Sageleaf
Sagewave_tool
Goldvein
Goldtomb

Victims:
Organizations running oracle e business suite

CVEs:
CVE-2025-61882 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1588.005

IOCs:
IP: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа программ-вымогателей Clop провела масштабную кампанию по вымогательству, используя уязвимость zero-day в Oracle E-Business Suite до того, как стало доступно исправление. Пик этой кампании пришелся на 29 сентября 2025 года, когда основное внимание уделялось руководителям высокого уровня с целью оказания давления на соблюдение требований о вымогательстве. Эксплойт позволяет получить доступ к конфиденциальным данным, что повышает срочность реагирования организаций и подчеркивает угрозу, исходящую от злоумышленников, которые используют незащищенные уязвимости.
-----

Google, наряду с GTIG и Mandiant, предоставили информацию о масштабной кампании вымогательства, проведенной группой программ-вымогателей Clop, которая воспользовалась ранее неизвестной (zero-day) уязвимостью в Oracle E-Business Suite. Эта эксплуатация произошла за несколько недель до выпуска Oracle исправления, предназначенного для устранения уязвимости. Кампания достигла апогея 29 сентября 2025 года, характеризуясь крупномасштабным вымогательством по электронной почте, направленным в первую очередь на руководителей различных организаций, использующих Oracle EBS.

Группа Clop известна своей агрессивной тактикой, и эта конкретная кампания свидетельствует об их способности использовать недавно обнаруженные уязвимости для максимального воздействия до того, как будут доступны меры по их устранению. Нацеливаясь конкретно на руководителей высокого уровня, Clop, вероятно, стремился оказать давление и ускорить выполнение их требований о вымогательстве, повышая их шансы на финансовую выгоду. Природа уязвимости в Oracle E-Business Suite облегчает злоумышленникам доступ к конфиденциальным данным, которые они могут угрожать раскрыть, что еще больше повышает срочность реагирования организаций.

Сочетание эксплойта zero-day и целевых кампаний по электронной почте подчеркивает эволюционирующий ландшафт киберугроз, в котором злоумышленники эффективно используют незащищенные уязвимости для выполнения своих операций. Организациям, использующим Oracle EBS, настоятельно рекомендуется как можно скорее устранить уязвимость, чтобы снизить риск, связанный с такой тактикой вымогательства, и повысить общую степень безопасности от подобных угроз в будущем.

#ParsedReport #CompletenessLow
11-10-2025

Weaponizing Discord for Command and Control Across npm, PyPI, and RubyGems.org

https://socket.dev/blog/weaponizing-discord-for-command-and-control

Report completeness: Low

Threats:
Supply_chain_technique

Victims:
Software supply chain, Open source package ecosystems

Geo:
Vietnamese, Turkish

TTPs:
Tactics: 3
Technics: 7

IOCs:
Url: 4
File: 22

Soft:
Discord

Win API:
gethostname

Languages:
python, ruby, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники используют Discord для операций командования и контроля (C2), специально ориентируясь на экосистемы разработчиков, такие как npm, PyPI и RubyGems.org для эксфильтрации данных. Их методы включают использование функций webhook для передачи конфиденциальной информации из таких файлов, как config.json и .env, которые часто содержат учетные данные и ключи API. Этот подход согласован с несколькими методами MITRE ATT&CK, включая эксфильтрацию данных, Автоматизировать эксфильтрацию и обнаружение небезопасных учетных данных.
-----

Злоумышленники начали использовать Discord как средство командования и контроля (C2), особенно нацеливая свои операции на такие экосистемы, как npm, PyPI и RubyGems.org для эксфильтрации данных. Традиционно эти акторы полагались на свою собственную инфраструктуру C2; однако недавние наблюдения исследовательской группы Socket по изучению угроз указывают на сдвиг в сторону использования Discord для использования возможностей webhook. Веб-хуки служат конечными точками HTTPS, которые сочетают числовой идентификатор с секретным токеном, позволяя неавторизованным пользователям отправлять данные по указанному каналу, не раскрывая никаких предварительных данных, что делает их эффективными для вредоносной эксфильтрации данных.

В экосистеме npm вредоносный код был идентифицирован как нацеленный на определенные конфигурационные файлы, такие как config.json, .env, ayarlar.js , и ayarlar.json—файлы, в которых часто хранятся настройки приложения, учетные данные пользователя и ключи API. Использование "ayarlar", что в переводе с турецкого означает "настройки", подчеркивает глобальный охват и лингвистическую адаптируемость этих атак.

Аналогичная тактика была отмечена с пакетами Python в экосистеме PyPI, где Discord функционирует как сервер C2, позволяя злоумышленникам беспрепятственно взаимодействовать со скомпрометированными системами или получать конфиденциальную информацию. В RubyGems.org среде, драгоценный камень sqlcommenter_rails был помечен для действий по эксфильтрации, демонстрируя упрощенную, но эффективную стратегию использования существующих инструментов в вредоносных целях.

Тактика, используемая в этих операциях, связана с несколькими техниками в рамках MITRE ATT&CK. Ключевые методы включают эксфильтрацию данных из локальных систем, Автоматизированную эксфильтрацию и использование преимуществ незащищенных учетных данных, найденных в файлах. Другие соответствующие методы включают тактику обнаружения для сбора системной информации и реквизитов учетной записи, что указывает на комплексный подход к компрометации и извлечению конфиденциальных данных.

#ParsedReport #CompletenessLow
10-10-2025

The Golden Scale: Bling Libra and the Evolving Extortion Economy

https://unit42.paloaltonetworks.com/scattered-lapsus-hunters/

Report completeness: Low

Actors/Campaigns:
Shinyhunters (motivation: information_theft, financially_motivated, cyber_criminal)
0ktapus (motivation: cyber_criminal)
Scattered_lapsus_hunters (motivation: information_theft, cyber_criminal)
Sp1d3r_hunters
Crimson_collective (motivation: information_theft)

Threats:
Supply_chain_technique
Trufflehog_tool

Victims:
Retail sector, Hospitality sector

Industry:
Telco, Aerospace, Retail, Entertainment

Geo:
New york

Soft:
Salesforce, Telegram

Links:
https://github.com/trufflesecurity/trufflehog

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
The Scattered Lapsus$ Рассеянный ляпсус The Охотники, состоящие из членов таких групп, как Muddled Libra и Bling Libra, нацелены на сектор розничной торговли и гостиничного бизнеса с помощью скоординированных атак, направленных на эксфильтрацию данных с целью получения выкупа. Их тактика включает в себя изощренные методы вымогательства и внедрение модели "Вымогательство как услуга" для расширения своей преступной деятельности. Несмотря на заявления об уходе из киберпреступности, их недавнее сотрудничество с Crimson Collective предполагает сохраняющуюся значительную угрозу и потенциал для масштабных утечек данных.
-----

Появление Scattered Lapsus$ Охотники, которые могут состоять из членов групп Muddled Libra, Bling Libra и LAPSUS$, представили новую волну киберугроз, в первую очередь нацеленных на розничную торговлю и гостиничный сектор. Этот конгломерат, также известный как "Троица хаоса", участвовал в скоординированных атаках на клиентов Salesforce-арендаторов с целью извлечения конфиденциальных данных с целью получения выкупа. Их операции характеризуются значительным акцентом на тактику вымогательства, использованием сложных методов для проникновения в системы и получения ценной информации.

Одним из заметных изменений в этом ландшафте угроз является внедрение Bling Libra's модели "Вымогательство как услуга" (EAAs) 3 октября 2025 года. Этот сервис использует функциональность существующих форумов по киберпреступности, позволяя им расширить свой охват внутри преступного сообщества. В связи с этим Bling Libra сотрудничает с относительно новой группой, известной как Crimson Collective, что указывает на стратегический альянс, который повышает риск скоординированных усилий по вымогательству против целевых организаций.

Несмотря на заявления, сделанные Scattered Lapsus$ Говоря об уходе из своей деятельности по борьбе с киберпреступностью, отраслевые эксперты по-прежнему настроены скептически. Этот скептицизм подкрепляется быстрой чередой атак и сохраняющейся угрозой кражи данных с вымогательством в секторах розничной торговли и гостиничного бизнеса. Заявленный выход на пенсию, по-видимому, является временным прикрытием, поскольку их способность проводить значительные кибероперации все еще сохраняется.

Деятельность этих злоумышленников подчеркивает растущие риски, с которыми сталкиваются организации в этих отраслях. Межгрупповое сотрудничество, развивающиеся технологии и угрожающий потенциал масштабных утечек данных представляют собой серьезные проблемы, с которыми должны справляться предприятия, стремящиеся обезопасить свои данные и защититься от таких изощренных угроз. Организации должны сохранять бдительность и быть готовы к внедрению надежных мер кибербезопасности для снижения рисков, создаваемых этими эволюционирующими злоумышленниками в среде киберугроз.