#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Во время сезона праздничных покупок всплеск активности фишинга привел к обнаружению более 2000 поддельных интернет-магазинов, при этом были выявлены две основные группы. Первый кластер включает более 750 typosquatted доменов, напоминающих Amazon, которые используют обманчивые показатели доверия, в то время как второй кластер включает домены, выдающие себя за такие бренды, как Apple и Samsung, использующие схожие шаблоны именования и дизайн. Эти мошеннические сайты используют интерес потребителей к праздничным предложениям, создавая значительные риски финансового мошенничества.
-----

По мере приближения сезона праздничных покупок, особенно "Черной пятницы" и киберпонедельника, наблюдается значительный всплеск активности фишинга. CloudSEK выявила более 2000 поддельных интернет-магазинов праздничной тематики, которые используют всплеск интереса потребителей для получения выгодных предложений и скидок. Анализ выявил две скоординированные группы этих мошеннических витрин, характеризующихся подозрительным использованием ресурсов и единообразными шаблонами оформления.

Первый кластер включает более 750 доменов, обычно напоминающих Amazon, идентифицированных как сайты с typosquatted, с похожим брендингом и срочными сообщениями, предназначенными для введения потребителей в заблуждение. Эти сайты используют обманчивые показатели доверия, чтобы казаться законными, тем самым повышая вероятность вовлечения потребителей и финансового мошенничества.

Второй кластер охватывает более широкую экосистему доменов .shop, в которую входят домены, выдающие себя за различные известные потребительские бренды, такие как Apple, Dell и Samsung. Эти домены имеют схожие названия и дизайн, что создает единый, но в то же время мошеннический подход к совершению покупок, ориентированный на неосведомленных потребителей, которые ищут выгодные предложения на праздники.

Распространенность этих поддельных магазинов свидетельствует о продолжающейся деятельности по борьбе с киберугрозами, которая использует сезонное поведение при совершении покупок, создавая значительные риски для потребителей. Злоумышленники используют тактику Имперсонации бренда и срочности, что вынуждает потребителей проявлять повышенную бдительность при взаимодействии с незнакомыми интернет-магазинами в этот праздничный сезон.

#ParsedReport #CompletenessLow
26-11-2025

Fake Battlefield 6 Pirated Versions and Game Trainers Used to Deploy Stealers and C2 Agents

https://www.bitdefender.com/en-us/blog/labs/fake-battlefield-6-pirated-games-trainers

Report completeness: Low

Victims:
Gaming users, Gaming sector

Industry:
Entertainment

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1071.001, T1189, T1204.002, T1555.003

IOCs:
Url: 1
IP: 1
File: 2

Soft:
Chrome, Firefox, Opera, Vivaldi, Discord, Steam

Wallets:
iwallet, yoroi

Algorithms:
exhibit

Win API:
GetSystemDefaultLCID, GetLocaleInfoW, GetUserGeoID, GetTickCount, DllInstall, DllRegisterServer, DllUnRegisterServer

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавний анализ выявил кампании вредоносного ПО, использующие популярность Battlefield 6, в основном распространяющие обманчивые игровые трейнеры и пиратские версии через торрент-сайты. Примечательно, что агрессивный стиллер информации маскируется под инструктора для кражи пользовательских данных, в то время как версия InsaneRamZes использует методы антианализа для уклонения. Кроме того, пиратская версия RUNE действует как агент управления, обеспечивая удаленный доступ, что еще больше усложняет ситуацию с вредоносным ПО из-за путаницы с законными взломами.
-----

Недавний анализ, проведенный Bitdefender Labs, выявил целый ряд кампаний по вредоносному ПО, использующих популярность видеоигры Battlefield 6. Эти кампании в основном распространяют различные пиратские версии и вводящие в заблуждение игровые трейнеры через торрент-сайты и другие онлайн-платформы. Вредоносное ПО предназначено для обмана пользователей, ищущих незаконные копии игры, что в конечном итоге приводит к развертыванию вредоносного программного обеспечения.

Среди примечательных находок было выявлено несколько версий, обозначенных как "крэки" и "трейнеры" для Battlefield 6, во всех из которых отсутствует подлинная функциональность. Один агрессивный стиллер маскируется под тренера и предназначен для обработки пользовательских данных непосредственно из браузеров и криптовалютных кошельков. Этот образец относительно невелик и лишен запутывания, что позволяет быстро украсть конфиденциальную информацию после активации.

Кроме того, пиратская версия, известная как InsaneRamZes, использует передовые методы уклонения от обнаружения, используя методы антианализа и региональные стратегии уклонения. Напротив, пиратская версия RUNE функционирует как агент управления (C2), способный устанавливать закрепление в зараженных системах и облегчать удаленное управление злоумышленниками. Оба этих образца вредоносного ПО подчеркивают, что они отключены от любых законных функций, связанных с Battlefield 6.

Важно отметить, что ситуация усугубляется законной взломанной версией, выпущенной the actual RUNE group. Этот законный взлом еще больше увеличивает риск того, что ничего не подозревающие пользователи загрузят версию, загруженную вредоносным ПО, из-за путаницы, связанной с ее подлинностью на торрент-платформах.

#ParsedReport #CompletenessMedium
28-11-2025

SetcodeRat Exposed: A Telegram Secret Stealing Trojan Customized for Chinese-speaking Regions

https://ti.qianxin.com/blog/articles/setcoderat-customized-for-chinese-speaking-regions-en/

Report completeness: Medium

Threats:
Setcoderat
Seo_poisoning_technique

Victims:
Telegram users, Consumers

Industry:
Government

Geo:
China, Taiwan, Chinese, Hong kong

ChatGPT TTPs:
do not use without manual check
T1036, T1056.004, T1082, T1204

IOCs:
File: 7
Hash: 2
IP: 2
Domain: 4

Soft:
Telegram

Wallets:
tron

Algorithms:
zip, md5

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SetcodeRat - это недавно выявленный троян, нацеленный на китайскоязычные регионы, в основном использующий Telegram для проникновения. Он поддерживает определение языка для выполнения, гарантируя, что активируется только в системах, настроенных на китайском языке, и манипулирует функциональными возможностями Telegram для работы в ограниченных средах. Вредоносное ПО позволяет удаленно выполнять команды на скомпрометированных системах и может извлекать информацию об устройстве из файлов .tmp для дальнейшего использования.
-----

SetcodeRat - это недавно идентифицированный троян, который специально нацелен на китайскоязычные регионы, раскрывая уникальный подход к проникновению в системы через Telegram. Обнаруженная командой QiAnXin Threat Intelligence Center Red Raindrop, это вредоносное ПО работает в рамках системы сбора разведывательной информации, используя популярность Telegram в тех областях, где приложение обычно блокируется.

Примечательной особенностью SetcodeRat является его возможность определения языка. После запуска вредоносное ПО оценивает языковые настройки системы и продолжает свою вредоносную деятельность только в том случае, если настройки настроены на китайском языке, что позволяет ему эффективно нацеливаться на пользователей из материкового Китая, Гонконга, Макао и Тайваня.

Было обнаружено, что троянец включает в себя специфические функции, связанные с Telegram, манипулируя поведением приложения путем удаления функций, связанных с подсказками прокси. Это изменение, вероятно, предназначено для обеспечения более плавной работы в средах с ограниченным доступом и для расширения скрытых возможностей вредоносного ПО.

Более того, аспект удаленного управления SetcodeRat позволяет злоумышленнику выполнять команды на скомпрометированных компьютерах. Если вредоносное ПО обнаруживает, что оно не запущено в исполняемом файле Telegram, оно использует стандартный режим удаленного управления. В этом режиме он извлекает ранее сгенерированные tmp-файлы, содержащие информацию, относящуюся к конкретному устройству, которая может быть использована для дальнейших вредоносных действий.

#ParsedReport #CompletenessHigh
01-12-2025

ShadowV2: Advanced Technical Threat Analysis of a New Mirai-Based Botnet

https://www.secureblink.com/threat-research/shadow-v2-advanced-technical-threat-analysis-of-a-new-mirai-based-botnet

Report completeness: High

Threats:
Shadowv2
Mirai
Satori
Masuta
Murdoc_botnet
Nugache
Udpflood_technique
Icmpflood_technique
Synflood_technique
Ackflood_technique
Tcpstomp_technique
Httpflood_technique
Dns_amplification_technique
Dropbear_tool
Polymorphism_technique
Mitm_technique
Credential_harvesting_technique
Netscan_tool
Procdump_tool
Puremasuta
Owari

Victims:
Telecommunications, Healthcare, Finance, Manufacturing, Intelligent building management systems, Global iot infrastructure

Industry:
Financial, Telco, Retail, Transport, Critical_infrastructure, Iot, Healthcare, Government, Ics, Entertainment

Geo:
Asia-pacific, Asia, America, California

CVEs:
CVE-2017-17215 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- huawei hg532_firmware (-)

CVE-2014-8361 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dlink dir-905l_firmware (le2.05b01)

CVE-2024-3721 [Vulners]
CVSS V3.1: 6.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2020-25506 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dlink dns-320_firmware (2.06b01)

CVE-2022-37055 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dlink go-rt-ac750_firmware (reva_1.01b03, revb_2.00b02)


TTPs:
Tactics: 7
Technics: 18

IOCs:
Domain: 2
Hash: 1

Soft:
VirtualBox, QEMU, curl, Linux, Chrome, Firefox

Algorithms:
md5, sha256, exhibit, prng, xor, rc4

Functions:
mprotect

Win API:
ARC

Platforms:
arm, x86, mips

YARA: Found

Links:
https://github.com/Yara-Rules/rules

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ShadowV2 - это ботнет на базе Mirai с критической степенью защиты, нацеленный на системы Linux и Unix, способный выполнять сложные DDoS-атаки в таких секторах, как телекоммуникации, здравоохранение и финансы. Он использует двоичный файл ELF, поддерживает различные архитектуры и использует упаковку UPX для запутывания. Цикл заражения включает в себя методы грубой силы и использование известных уязвимостей, включая CVE-2017-17215, наряду с продвинутой инфраструктурой C2 и обширными возможностями DDoS.
-----

ShadowV2 - это ботнет на базе Mirai, нацеленный на системы Linux и Unix и представляющий серьезную угрозу глобальной инфраструктуре Интернета вещей. Он способен запускать сложные DDoS-атаки в таких секторах, как телекоммуникации, здравоохранение и финансы. Ботнет поставляется в виде двоичного файла ELF, подходящего для архитектур x86, ARM и MIPS, размером от 50 до 300 КБ. Первоначальное запутывание достигается с помощью упаковки UPX, что усложняет обнаружение на основе сигнатур. Жизненный цикл процесса заражения состоит из семи этапов, в нем используются методы грубой силы, используются известные уязвимости и методы самораспространения. Он сканирует уязвимые устройства, используя необработанные операции с сокетами, с помощью SYN-сканирования на общих портах Telnet, SSH и HTTP.

ShadowV2 работает на гибридной инфраструктуре C2, объединяющей централизованные серверы с одноранговыми системами, используя TCP-порт 48101 для подключения зараженных ботов и передачи системных конфигураций. Ботнет использует десять векторов DDoS, включая UDP и ICMP floods, с подменой IP-адреса источника для усиления атаки. Используются передовые методы антианализа, включая криптографическое запутывание и шифрование RC4 операционных строк, что затрудняет усилия по обратному проектированию. Зараженные устройства демонстрируют агрессивное поведение при сканировании, особенно через ненормальные исходящие соединения Telnet.

Злоумышленники, стоящие за ShadowV2, находятся на уровне от среднего до продвинутого, используя недавно раскрытые CVE, такие как CVE-2017-17215, с помощью внедрения команд и уязвимостей слабой аутентификации в устройствах Интернета вещей. Вредоносное ПО соответствует платформе MITRE ATT&CK, в частности, при первоначальном доступе и использовании Внешних служб удаленного доступа. Организациям следует сосредоточиться на защите устройств, внедрении надежной аутентификации, отключении ненужных служб, поддержании строгих протоколов исправления и применении стратегии глубокой защиты с сегментацией сети и надежным мониторингом необычного поведения.

#ParsedReport #CompletenessMedium
27-11-2025

TangleCrypt: a sophisticated but buggy malware packer

https://labs.withsecure.com/publications/tanglecrypt

Report completeness: Medium

Threats:
Tanglecrypt_tool
Edr-killer
Stonestop
Abyssworker
Byovd_technique
Qilin_ransomware
Vmprotect_tool
Poortry
Burntcigar
Code_virtualizer_tool
Heartcrypt_tool
Xworm_rat
Bloat_technique

Victims:
Ransomware victims, Edr and antivirus vendors

ChatGPT TTPs:
do not use without manual check
T1027, T1055, T1068, T1106, T1140, T1562, T1574, T1620, T1622

IOCs:
File: 6
Hash: 84
Domain: 5

Soft:
Visual Studio, Microsoft Defender

Algorithms:
base64, sha256, xor

Win API:
LocalHandle, GlobalSize, LoadResource, SizeofResource, decompress, VirtualAlloc, CreateProcessW, WriteProcessMemory, ResumeThread, MessageBoxA, have more...

Platforms:
x64, x86

YARA: Found

Links:
https://github.com/WithSecureLabs/iocs/blob/master/TangleCrypt/TangleCrypt\_YARA.yar
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TangleCrypt - это программа-упаковщик вредоносного ПО для Windows, связанная с программой-вымогателем STONESTOP, предназначенная для сокрытия ее полезной нагрузки и отключения мер безопасности. Он использует методы антианализа, такие как вызывающие ошибки вызовы API и шифрование строк, но допускает простой ручной анализ из-за неоптимального кода и базовых функций защиты от отладки. Его выполнение варьируется в зависимости от контекста процесса, выявляя ряд тактик уклонения, которые подчеркивают текущие проблемы в противодействии эволюционирующим угрозам в среде вредоносного ПО.
-----

TangleCrypt представляет собой новый упаковщик вредоносного ПО для Windows, который в основном используется для сокрытия основной полезной нагрузки от обнаружения во время кибератак. Это вредоносное ПО было идентифицировано как часть инцидента с вымогательством, связанного с STONESTOP, который действует как средство обнаружения конечных точек и реагирования (EDR) с использованием драйвера ABYSSWORKER. Функциональность STONESTOP сосредоточена на принудительном отключении мер безопасности путем использования уязвимостей в драйверах или запуска вредоносных драйверов.

При анализе TangleCrypt он функционирует как типичный упаковщик вредоносного ПО, шифрующий исходный исполняемый файл в рамках ресурсов структуры PE (Portable Executable), в то время как в основном содержит код загрузчика. Его конструкция позволяет скрывать истинные намерения вредоносного ПО, заставляя его казаться безвредным для систем безопасности. Однако TangleCrypt использует ограниченный набор методов антианализа, что позволяет проводить относительно простой динамический анализ вручную.

Упаковщик включает в себя минимальные функции защиты от отладки, где он вызывает функции Win32 API с недопустимыми аргументами для запуска исключений, которые могут быть обработаны. Такая конструкция представляет собой незначительное препятствие для аналитиков, пытающихся проанализировать ее работу. Кроме того, он использует строковое шифрование для запутывания имен библиотек DLL Windows и вызовов функций API, шифруя их для обеспечения Динамического разрешения. Этот метод предотвращает немедленный анализ его возможностей, как это видно из типичного поведения вредоносного ПО.

В ходе расследований было отмечено, что TangleCrypt не оптимизировал свой код, что привело к bloated загрузчику, который может замедлить процессы отладки. Расшифровка полезной нагрузки продемонстрировала различное поведение при выполнении, с двумя идентифицированными образцами: первый выполняется внутри своего процесса с использованием VirtualAlloc, в то время как второй динамически записывает в память дочернего процесса перед возобновлением выполнения. Проблемы возникли при выполнении одного образца без прав администратора, что указывает на недостаток, который не был вызван самой полезной нагрузкой STONESTOP.

Методология выполнения различается; например, на поведение полезной нагрузки влияет то, вводится ли она в родительский или дочерний процесс. TangleCrypt изменяет свою обработку стандартных функций среды выполнения в соответствии с этим структурным контекстом, демонстрируя сложный уровень стратегий уклонения. Непрерывная эволюция методов уничтожения EDR означает постоянные проблемы в борьбе с программами-вымогателями и другими формами вредоносного ПО, использующими такие механизмы.

Таким образом, дизайн и поведение TangleCrypt подчеркивают новую тактику, используемую злоумышленниками для обхода мер безопасности. Его возможности манипулировать контекстом выполнения и динамически разрешать функции подчеркивают постоянные инновации в разработке вредоносного программного обеспечения, требующие адаптивных и упреждающих защитных мер.

#ParsedReport #CompletenessMedium
01-12-2025

NGC5081 attacks telecom with an advanced IDFKA backdoor

https://rt-solar.ru/solar-4rays/blog/6247/

Report completeness: Medium

Actors/Campaigns:
Ngc5081 (motivation: cyber_espionage)
Snowy_mogwai

Threats:
Idfka
Tinyshell
Vshell
Snowlight
Portscan_tool
Garble_tool
Goblinrat

Victims:
Telecommunications

Industry:
Telco

Geo:
Asian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.004, T1105, T1190, T1505.003

IOCs:
File: 1
IP: 14
Hash: 22

Soft:
Telegram, PostgreSQL, Linux, sudo, zabbix, nginx

Algorithms:
md5, xor, aes, sha1, aes-ecb, chacha20, sha256

Functions:
access

Win API:
varint

Win Services:
bits

Languages:
rust, python

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В конце мая 2025 года телекоммуникационная компания столкнулась с киберинцидентом, выявившим нарушение с помощью выполненных команд bash в ее базе данных PostgreSQL, которое было прослежено до подрядчика-администратора. Фракция злоумышленников NGC5081 была связана с усовершенствованным бэкдором, разработанным Rust, IDFKA, что подчеркивает возрастающую сложность вредоносного ПО. Этот инцидент подчеркивает целенаправленные угрозы телекоммуникационной инфраструктуре, которые могут поставить под угрозу конфиденциальные данные и нарушить работу служб.
-----

В конце мая 2025 года кибератака с участием телекоммуникационной компании побудила Solar 4RAYS провести расследование, которое объединило усилия, инициированные Solar JSOC. Первоначальное нарушение характеризовалось выполнением команд bash через базу данных PostgreSQL во внутренней инфраструктуре компании. Когда следователи проследили за деятельностью подрядчика, ответственного за администрирование базы данных, они выявили две различные группировки злоумышленников, действующих в сети подрядчика.

Одна из этих фракций, обозначенная как NGC5081, использовала продвинутый и ранее не обнаруженный бэкдор под названием IDFKA, разработанный в Rust. Этот бэкдор представляет собой значительное техническое достижение, свидетельствующее о растущей сложности вредоносного ПО, используемого в кибератаках. Идентификация IDFKA подчеркивает постоянную угрозу, исходящую от изощренных злоумышленников, способных интегрировать передовые языки программирования для создания скрытных и эффективных средств вторжения.

Подробности, связанные с бэкдором IDFKA, остаются ограниченными, но его связь с группой NGC5081 предполагает целенаправленный подход к нарушению телекоммуникационной инфраструктуры, что потенциально может поставить под угрозу конфиденциальные данные и нарушить работу критически важных служб. Инцидент подчеркивает важность постоянного мониторинга и возможностей быстрого реагирования в организациях для снижения рисков, связанных с такими продвинутыми угрозами. Этот случай служит напоминанием о необходимости принятия надежных мер по кибербезопасности, особенно в секторах, в основе которых лежит целостность данных и непрерывность работы.

#ParsedReport #CompletenessLow
01-12-2025

Arkanix Stealer: Newly discovered short term profit malware

https://www.gdatasoftware.com/blog/2025/12/38306-arkanix-stealer

Report completeness: Low

Threats:
Arkanix
Vmprotect_tool
Process_injection_technique
Elevator

Victims:
Consumers, Cryptocurrency users

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036, T1041, T1059.006, T1082, T1083, T1105, T1106, T1119, have more...

IOCs:
File: 1
Url: 4
Command: 1
Hash: 2

Soft:
Discord, Steam, Nuitka, telegram, Chrome, Opera, Vivaldi, Chrome, Chromium, BlockBlasters

Wallets:
exodusweb3, metamask, electrum

Crypto:
binance

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Arkanix Stealer - это недавно обнаруженное недолговечное вредоносное ПО, первоначально написанное на Python и быстро адаптированное к C++, предназначенное для кражи конфиденциальной финансовой информации. Он использует Discord для распространения, работает через систему только по приглашениям и нацелен на такие браузеры, как Edge и Chrome, а также расширения для криптовалютных кошельков. Вредоносное ПО собирает такие данные, как токены Discord и учетные данные Wi-Fi, и передает их на сервер командования и контроля, используя передовые методы обхода мер безопасности.
-----

Arkanix Stealer - это недавно идентифицированное вредоносное ПО, предназначенное для сбора конфиденциальной информации с целью получения финансовой выгоды, характеризующееся как Stealer. Первоначально разработанное на Python, вредоносное ПО эволюционировало и включило вариант на C++ в течение месяца после своего обнаружения. В основном он распространяется через такие платформы, как Discord, Маскировка под законные инструменты или общие посты на форумах.

Механизм распространения Arkanix's основан на системе только для приглашений, доступ к которой осуществляется через Discord, для Создания учетных записей для веб-панели, где пользователи могут получить доступ к различным функциям, включая "Премиум"-функции. Версия C++ предлагает широкие возможности для кражи, такие как возможность собирать конфиденциальные данные из популярных браузеров, включая Edge и Chrome, и нацеливаться на определенные расширения браузера, связанные с криптовалютными кошельками (например, MetaMask, Binance). Он систематически выполняет поиск пользовательских файлов в определенных каталогах и загружает любой найденный контент на удаленный сервер, не прерывая другие действия по сбору данных. Собранные ключевые данные включают токены Discord, системные спецификации и учетные данные Wi-Fi; последние получены с помощью инструментов командной строки Windows. Собранные данные отправляются на сервер командования и контроля, hxxps://arkanix.pw/delivery, хотя этот сервер был неактивен во время составления отчета, что ограничивает дальнейший анализ полезной нагрузки.

Версия Arkanix на Python использует Nuitka для компиляции кода в самодостаточный исполняемый файл, обеспечивая простое развертывание без необходимости дополнительных установок. Эта версия извлекает компоненты, необходимые для запуска байт-кода Python, обеспечивая бесперебойную работу после выполнения. Вариант C++, хотя и функционально схож, объединяет передовые методы обхода мер безопасности, в частности шифрование, привязанное к приложениям Apple, введенное в Chrome версии 127, которое защищает учетные данные, гарантируя, что только запрашивающее приложение может расшифровать их, тем самым препятствуя несанкционированному доступу.

#ParsedReport #CompletenessLow
27-11-2025

3 OAuth TTPs Seen This Month - and How to Detect Them with Entra ID Logs

https://www.wiz.io/blog/recent-oauth-attacks-detection-strategies

Report completeness: Low

Actors/Campaigns:
Storm-2372

Threats:
Device_code_phishing_technique

Industry:
Media, Iot

Geo:
Asia

Soft:
Graph API, Azure AD, Azure Active Directory, Windows Hello

Algorithms:
exhibit

Functions:
count

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
code: 8, schema: 3, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4