#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT31, группа кибершпионажа, нацеленная на российский ИТ-сектор, использует различные вредоносные ПО, такие как AufTime, COFFProxy и VtChatter, маскируя их под законное программное обеспечение для установления связи через Облачные сервисы. Они получают первоначальный доступ через файлы быстрого доступа и DLL sideloading, используя такие уязвимости, как BugSplatRc64.dll , и использовать инструменты, позволяющие избежать обнаружения, включая шифрование RC4 для связи. Их методы отражают сочетание передовой и эволюционирующей тактики, демонстрируя приверженность укреплению оперативных возможностей и поддержанию постоянной угрозы.
-----

APT31 - группа, известная промышленным шпионажем и кражей интеллектуальной собственности, активно атаковала российский ИТ-сектор с 2024 по 2025 год. Они используют различные типы инструментов для вредоносного ПО, включая AufTime, COFFProxy, VtChatter, YaLeak, CloudyLoader и OneDriveDoor, которые они маскируют под законное программное обеспечение, чтобы облегчить свою работу и установить двусторонние каналы связи через Облачные сервисы, в основном российские хостинги.

Чтобы получить первоначальный доступ, APT31 использует такие методы, как файлы быстрого доступа (LNK) и методы DLL sideloading, в частности, используя BugSplatRc64.dll , наряду с разнообразными стратегиями полезной нагрузки. Их защита от обнаружения включает использование туннелей разработки Microsoft с помощью таких инструментов, как devtunnel.exe и локальные инструменты, такие как LocalPlugx, которые могут выполняться с помощью таких процессов, как winlogon.exe и msiexec.exe .

Их инструмент VtChatter использует кодировку Base64 и шифрование RC4, демонстрируя техническую изощренность, которая помогает защитить их коммуникации. Компонент CloudyLoader работает по протоколу HTTPS на порту 443 с определенными параметрами, такими как время ожидания 77 665 миллисекунд и назначенный сервер C2 (Moeodincovo.com ) для командных и контрольных функций. Определенная строка UserAgent предполагает, что вредоносное ПО имитирует законный трафик, чтобы избежать обнаружения.

OneDriveDoor также использует DLL sideloading, интегрируясь со стандартными процессами и используя RC4 для шифрования. Вредоносное ПО оснащено сложными средствами эксфильтрации, что указывает на постоянное стремление APT31's к совершенствованию своего инструментария. Их недавняя деятельность отражает сочетание старого и нового, поскольку они постоянно расширяют свой арсенал дополнительными бэкдорными функциями, поддерживая свой статус постоянной угрозы сектору. Изощренность их атак, включая точное определение времени и использование командных сценариев, подчеркивает передовую тактику APT31's и постоянные оперативные возможности.

#ParsedReport #CompletenessLow
01-12-2025

DNS Uncovers Infrastructure Used in SSO Attacks

https://blogs.infoblox.com/threat-intelligence/dns-uncovers-infrastructure-used-in-sso-attacks/

Report completeness: Low

Threats:
Evilginx_tool
Aitm_technique
Mitm_technique

Victims:
Education

Industry:
Education

Geo:
California

ChatGPT TTPs:
do not use without manual check
T1550.004, T1566.002

IOCs:
Domain: 68
IP: 15

Languages:
javascript

Platforms:
intel

Links:
https://github.com/kgretzky/evilginx2
have more...
https://github.com/infobloxopen/threat-intelligence/tree/main

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние киберугрозы, нацеленные на студенческие порталы единого входа (SSO), были связаны с злоумышленником, использующим Evilginx 3.0, усовершенствованный инструмент фишинга для атак Злоумышленник посередине (MITM). Этот актор с апреля 2025 года нацелился по меньшей мере на 18 университетов США, используя тактику социальной инженерии с помощью персонализированных электронных писем и фишингов URL-адресов, которые точно имитируют законные домены единого входа. Изощренность Evilginx включает в себя такие функции, как TLS-сертификаты с подстановочными знаками, что делает обнаружение все более сложным для традиционных мер кибербезопасности.
-----

Недавние киберугрозы, нацеленные на студенческие порталы единого входа (SSO), были приписаны злоумышленнику, использующему Evilginx, передовую платформу фишинга, предназначенную для выполнения атак типа "Злоумышленник посередине" (MITM). Этот инструмент, в частности версия 3.0, популярен среди киберпреступников, стремящихся обойти Многофакторную аутентификацию (MFA), и был связан с атаками по меньшей мере на 18 университетов в США с апреля 2025 года. Злоумышленник осуществлял эти кампании в основном с помощью электронных писем, содержащих ссылки TinyURL, которые перенаправляли пользователей на фишингов -страницы, созданные с помощью фишлетов Evilginx's, описывающих взаимодействие между устройством жертвы и аутентичными сайтами. Каждый URL-адрес для фишинга был создан таким образом, чтобы точно имитировать законный домен единого входа, часто с поддоменами, которые отражали веб-адрес реального учреждения.

Кампании специально использовали тактику социальной инженерии, отправляя студентам персонализированные электронные письма, которые приводили их к вредоносным URL-адресам, срок действия которых мог быстро истечь. Однако остатки этих атак по-прежнему можно обнаружить с помощью анализа Passive DNS. Используемые поддомены были намеренно спроектированы таким образом, чтобы они выглядели законными и очень напоминали реальные страницы входа в систему. Например, один из URL-адресов для фишинга имитировал страницу единого входа в Рочестерский технологический институт, используя поддомен с аналогичным префиксом.

Обнаружение этих угроз усложняется из-за растущей сложности Evilginx. Его новейшие функции, включая использование TLS-сертификатов с подстановочными знаками и передовые методы снятия отпечатков пальцев для фильтрации ботов, значительно снизили частоту обнаружения с помощью инструментов кибербезопасности. Последствия заключаются в том, что традиционные методы обнаружения могут с трудом поспевать за этой эволюционирующей тактикой. Тем не менее, общепринятые методы, такие как мониторинг доменных имен на предмет наличия отпечатков пальцев операций, по-прежнему предоставляют возможные пути для смягчения последствий таких атак.

Организациям рекомендуется блокировать определенные домены, связанные с актором Evilginx, чтобы усилить защиту DNS и снизить риски, связанные с этими сложными кампаниями фишинга. Постоянная координация между злоумышленниками и постоянное совершенствование их инструментов подчеркивает необходимость бдительности и адаптивных стратегий защиты от кибербезопасности.

#ParsedReport #CompletenessMedium
01-12-2025

Frankenstein in a smartphone: a new hybrid of NFCGate and RatOn Trojan is being prepared to attack Russian bank customers

https://www.f6.ru/blog/raton/

Report completeness: Medium

Actors/Campaigns:
Overload

Threats:
Nfcgate_tool
Raton
Craxsrat
Supercard
Smartapp

Victims:
Bank customers, Cryptocurrency wallet users, Czech bank customers, Russian speaking users

Industry:
Education, Financial

Geo:
Brazil, Russia, Italy, Germany, Ukrainian, Czech, Russian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1407, T1411, T1412, T1444, T1452, T1464, T1476

IOCs:
File: 3
Hash: 9

Soft:
Android, TikTok, RuStore, WhatsApp, Telegram, Viber

Wallets:
metamask

Algorithms:
md5, sha256, sha1

Functions:
setMode

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Появилось гибридное вредоносное ПО, нацеленное на клиентов российских банков, интегрирующее функции NFCGate и RatOn RAT, при этом Маскировка под поддельное приложение TikTok на Android. Он использует платформы мобильного банкинга и поведение пользователей, используя вредоносный APK-файл и интерфейс WebView для атак, включая методы ретрансляции NFC и кражу криптографических данных. Вредоносное ПО разработано для локализованных операций, в частности, с акцентом на чешские банковские приложения, с использованием передовой тактики эксфильтрации данных и стойких заражений, которые маскируют его действия.
-----

Появилось новое гибридное вредоносное ПО, сочетающее в себе возможности троянца удаленного доступа NFCGate и RatOn (RAT RAT), специально предназначенное для клиентов российских банков. Это вредоносное ПО маскируется под поддельное приложение TikTok на устройствах Android и было разработано для использования уязвимостей как в поведении пользователей, так и в системах мобильного банкинга.

Это вредоносное ПО работает путем инициирования вредоносного APK-файла, который взаимодействует с вредоносным веб-ресурсом через элемент WebView. Он использует встроенный JavaScript для облегчения своих атак. Использование NFCGate особенно примечательно, поскольку оно позволяет проводить атаки с использованием NFC-ретрансляции. При такой настройке вредоносное ПО RatOn предвосхищает отправляемые сервером команды, такие как команда "nfs", и реагирует на них, выполняя вредоносные действия и инициируя установку без согласия пользователя.

Функциональные возможности RatOn's выходят за рамки NFC-атак; он может участвовать в краже криптовалют и специально нацелен на банковские приложения. Например, получив команду “перевод”, RatOn активирует соответствующее мобильное банковское приложение, потенциально используя его для манипулирования финансовыми транзакциями, о чем свидетельствует команда, связанная с приложением чешского банка. Это подчеркивает способность вредоносного ПО к сложной эксфильтрации данных и финансовым манипуляциям.

Вредоносное ПО обладает расширенными возможностями по сбору информации об устройстве, управлению Данными из буфера обмена и поддержанию постоянного присутствия на зараженных устройствах с помощью уведомлений, замаскированных под законные сервисы. Кроме того, RatOn может отображать наложенные окна, скрывая свои действия от жертв и выдавая интерфейс за законный.

Тщательный анализ показывает, что RatOn в первую очередь ориентирован на граждан Чехии, о чем свидетельствует его локализация для взаимодействия с чешскими банковскими приложениями. Включение локализованных элементов интерфейса и специальных PIN-кодов подтверждает предположение о том, что эта атака методично спланирована для целевой аудитории.

В свете этой угрозы пользователям рекомендуется проявлять крайнюю осторожность при общении с неизвестными контактами в службах обмена сообщениями и избегать перехода по подозрительным ссылкам или загрузки приложений из непроверенных источников. Официальные магазины приложений должны быть единственным источником загрузки приложений, и пользователи должны внимательно проверять отзывы, чтобы убедиться в легитимности приложений. Крайне важно соблюдать правила защиты банковских данных и оперативно устранять любые проблемы, связанные с потенциальным взломом учетных записей.

#ParsedReport #CompletenessHigh
01-12-2025

A Tsunami Sweeping the Cyber Battlefield Analysis of SectorA01s Hacking Activities

https://medium.com/@nshcthreatrecon/a-tsunami-sweeping-the-cyber-battlefield-analysis-of-sectora01s-hacking-activities-e4d006baae2f

Report completeness: High

Actors/Campaigns:
Lazarus (motivation: information_theft)

Threats:
Anydesk_tool
Lolbin_technique
Pyobfuscate_tool
Beavertail
Invisibleferret

Victims:
Cryptocurrency industry, Individual users, Companies, Public institutions, Software developers

Industry:
Government, Financial

Geo:
Brazil, United kingdom, North korea, North korean, Russia

TTPs:
Tactics: 5
Technics: 22

IOCs:
File: 20
Url: 11
IP: 5
Path: 1
Domain: 1

Soft:
Electron, Node.js, curl, Linux, chrome, Google Chrome, Task Scheduler, Windows Defender, Opera, Microsoft Store, have more...

Algorithms:
xor, zip, base64, sha256

Functions:
startServer, eval, download_payload, hk_loop, ssh_run, bro_down, download_browse, ss_upd, ld, ss_upf, have more...

Win API:
decompress, ShellExecuteW

Languages:
javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SectorA01, северокорейская хакерская группа, также известная как Lazarus, усиливает атаки на криптовалютные активы с использованием универсального Tsunami Malware. Это вредоносное ПО использует многоэтапный процесс выполнения, начиная с вредоносного торгового приложения, и извлекает конфиденциальные данные, такие как учетные данные для входа в систему и информация о криптовалютном кошельке. Он создает бэкдор для дальнейшей эксплуатации, включая Регистрацию нажатий клавиш и удаленное управление, используя при этом передовые методы обхода, такие как disabling antivirus-меры и использование внешних ресурсов, чтобы оставаться незамеченным.
-----

SectorA01, аффилированный с Северной Кореей, нацелен на криптовалютные активы для получения финансовой выгоды и национальных проектов. Группа использует Tsunami malware для использования уязвимостей в криптовалютных транзакциях. Атака начинается с вредоносного торгового приложения, что приводит к многоэтапному процессу выполнения вредоносного ПО. Первоначальное Выполнение с участием пользователя позволяет вредоносному ПО на основе JavaScript динамически загружать дополнительные полезные данные. Вредоносное ПО собирает конфиденциальные данные, включая информацию для входа в браузер и криптовалютные кошельки, и отправляет их по указанному пути загрузки. Черный ход устанавливается с помощью main3_102.py скрипт, загружающий дополнительные полезные данные для кражи пользовательской информации и удаленного управления. Бэкдор взаимодействует с сервером злоумышленника для Регистрации нажатий клавиш и сбора файлов. Pastebin используется для запутывания командно-диспетчерской связи, чтобы избежать обнаружения. Вредоносное ПО использует методы living-off-the-land, используя официальные инструменты, такие как Python. Tsunami malware отключает защитник Windows, самоудаляется и удаляет следы после заражения. Его инфраструктура включает общедоступные веб-серверы для первоначальной полезной нагрузки и элементы Dark Web для управления. Основная цель состоит в том, чтобы отфильтровать учетные данные и данные кредитной карты, облегчая Кражу денежных средств и более глубокое проникновение в систему.

#ParsedReport #CompletenessLow
01-12-2025

ByteToBreach: A Deep Dive into a Persistent Data Leak Operator

https://www.kelacyber.com/blog/bytetobreach-a-deep-dive-into-a-persistent-data-leak-operator/

Report completeness: Low

Actors/Campaigns:
Bytetobreach (motivation: cyber_criminal, financially_motivated)

Threats:
Supply_chain_technique
Raccoon_stealer
Stealc

Victims:
Airlines, Banks, Governments, Healthcare

Industry:
Healthcare, Education, Aerospace, Government, Financial

Geo:
Cyprus, Singapore, Uzbekistan, Ukraine, Algeria, Kazakhstan, Chile, Poland

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1110, T1190, T1583.001

Soft:
Telegram, WordPress, ProtonMail, Gmail, Instagram

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ByteToBreach - это киберпреступная группировка, продающая конфиденциальные данные из таких секторов, как авиакомпании, банковское дело, здравоохранение и правительство, нацеленная на множество стран, включая США и Украину. Они используют известные уязвимости в облачных и корпоративных инфраструктурах, используя такие методы, как повторное использование учетных данных, фишинг, атаки брутфорсом и использование неправильных конфигураций. Основная цель - эксфильтрация данных, которую они продвигают через поддельный сайт, имитирующий законного поставщика услуг, демонстрируя заявления об успешных нарушениях.
-----

ByteToBreach идентифицирован как опытный киберпреступник, занимающийся продажей конфиденциальных данных, украденных из различных крупных секторов, включая авиакомпании, банковское дело, здравоохранение и государственные учреждения. Актор продемонстрировал широкий географический охват, затронув организации в таких странах, как Украина, Казахстан, Кипр, Польша и Соединенные Штаты. Используемые данные включают в себя списки пассажиров авиакомпаний, записи банковских служащих и базы данных здравоохранения. Многие из претензий, выдвинутых ByteToBreach, были подтверждены подтверждениями от затронутых компаний или наличием технических артефактов, подтверждающих нарушения.

Методы, используемые ByteToBreach, предполагают использование известных уязвимостей в облачной и корпоративной инфраструктуре. Актор использует комбинацию методов, включая повторное использование украденных учетных данных, полученных от стиллеров информации и кампаний фишинга. Кроме того, для получения первоначального доступа используются атаки с использованием брутфорса или использование неправильно сконфигурированных систем. Основной целью при проникновении является эксфильтрация данных, нацеленная на конфиденциальные записи сотрудников, базы данных, резервные копии и критически важные документы. Эти украденные материалы затем продаются или публикуются в сети, чтобы подтвердить заявления актора и привлечь потенциальных покупателей.

В рамках интересной маркетинговой стратегии ByteToBreach в августе 2025 года создала веб-сайт под названием "Pentesting Ltd", призванный имитировать внешний вид законного поставщика услуг. На сайте отображаются логотипы компаний, которые он якобы взломал, наряду с такими фразами, как "Позвольте мне нанести вред вашим данным" и "Скомпрометировать ваши серверы самым мощным вторжением". Веб-сайт также содержит сфабрикованную статистику, свидетельствующую об удовлетворенности клиентов, и включает в себя заявления об отказе от ответственности, предостерегающие от контактов с лицами, связанными с терроризмом или педофилией.

#ParsedReport #CompletenessLow
01-12-2025

Coin miner malware continuously distributed via USB

https://asec.ahnlab.com/ko/91280/

Report completeness: Low

Threats:
Dirtybulk
Cutfail
Xmrig_miner
Process_hacker_tool
Selfdel
Trojan/win.evo-gen.r731187
Coinminer
Trojan/win.miner3.r512976
Trojan/bat.runner.s3110
Trojan/vbs.runner.s3111

Victims:
Cryptocurrency mining, Users

Geo:
Korea

ChatGPT TTPs:
do not use without manual check
T1059.005, T1082, T1091, T1105, T1112, T1140, T1204.002, T1562.001, T1564.001

IOCs:
File: 11

Soft:
Windows Defender, Process Explorer

Crypto:
monero

Algorithms:
md5

Functions:
TaskMgr

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2, code: 1, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В 2025 году вредоносное ПО для майнинга криптовалют распространялось через USB-устройства, причем заметными вариантами были DIRTYBULK и CUTFAIL. Запуск вредоносного ПО начинается, когда пользователь запускает файл быстрого доступа, который запускает вредоносное ПО VBS, создающее дополнительные исполняемые файлы, включая PrintMiner, который изменяет системные настройки для поддержания рабочего состояния и собирает системные спецификации для сервера управления. PrintMiner, наряду с дополнительными полезными приложениями, такими как XMRig, использует методы обфускации, чтобы скрыть свое присутствие, что усложняет усилия по обнаружению.
-----

В феврале 2025 года аналитический центр AhnLab Security Intelligence Center (ASEC) в Корее подтвердил тенденцию распространения вредоносного ПО для майнинга криптовалют через USB-устройства, а позже, в июле 2025 года, Mandiant сообщил об аналогичных выводах. Выявленные варианты вредоносного ПО включают DIRTYBULK и CUTFAIL.

Механизм передачи обычно включает в себя установку пользователем USB-накопителя и запуск файла быстрого доступа с именем "USB Drive.lnk". Этот ярлык приводит к запуску вредоносного ПО VBS, характеризующегося префиксом "u", за которым следует случайный шестизначный номер, хранящийся в скрытой папке "sysvolume".

Процесс развертывания вредоносного ПО начинается с компонента, известного как "printui.dll ," который действует как дроппер, ответственный за создание и выполнение дальнейшего вредоносного ПО в рамках "%SystemDirectory%\svcinsty64.exe " справочник. Этот дроппер впоследствии создает другой исполняемый файл ".%SystemDirectory%\svctrl64.exe ," который также функционирует как дроппер и создает конфигурационный файл с именем "wlogz.dat" в папке "%SystemDirectory%\wsvcz". Эта последовательность устанавливает цепочку выполнения вредоносного ПО, где "svctrl64.exe " запускается как дочерний процесс исходного Dropper.

Один конкретный вариант вредоносного ПО, связанный со службой DcomLaunch, классифицируется под названием PrintMiner. PrintMiner изменяет системные настройки, например, настраивает управление питанием, чтобы предотвратить переход компьютера в режим ожидания. Он также извлекает адрес сервера командования и контроля (C&C), передавая важную системную информацию, такую как характеристики центрального процессора и графического процессора GPU. После сбора этой информации PrintMiner устанавливает дополнительные полезные файлы, такие как XMRig, которые сохраняются в каталоге "%SystemDirectory%\wsvcz", и эти файлы шифруются, причем расшифровка происходит одновременно в процессе загрузки.

Использование USB-устройств для распространения вредоносного ПО демонстрирует отход от старых методов, которые основывались на функциях автозапуска. Текущие стратегии адаптированы к методам, требующим взаимодействия с пользователем для быстрого запуска вредоносного ПО. В описанном сценарии Вредоносные файлы эффективно скрыты в скрытом каталоге, тем самым представляя пользователю только безопасный ярлык. Такое запутывание усложняет обнаружение, затрудняя пользователям распознавание того, когда их системы скомпрометированы.

#ParsedReport #CompletenessMedium
01-12-2025

GitLab discovers widespread npm supply chain attack

https://about.gitlab.com/blog/gitlab-discovers-widespread-npm-supply-chain-attack/

Report completeness: Medium

Threats:
Supply_chain_technique
Credential_harvesting_technique
Shai-hulud
Trufflehog_tool

Victims:
Open source ecosystem, Software development

Industry:
Transport

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1041, T1059.007, T1078, T1195, T1204.003

IOCs:
File: 29
Command: 1

Soft:
curl, Unix

Algorithms:
base64

Functions:
downloadAndSetupBun, scanFilesystem, fetchToken, aL0

Languages:
powershell, javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была выявлена атака по Цепочке поставок в экосистеме npm, при которой несколько пакетов заражаются сложным вредоносным ПО, использующим многоэтапный процесс загрузки. Вредоносное ПО, замаскированное под законный установщик Bun JavaScript, проводит сбор учетных записей и создает общедоступные хранилища, содержащие маркер для эксфильтрации данных. Он распространяется дальше, внедряя вредоносные скрипты в процессы предварительной установки других пакетов, и включает в себя "dead man's switch" с деструктивной полезной нагрузкой для защиты своей инфраструктуры от попыток демонтажа.
-----

GitLab выявила серьезную атаку по Цепочке поставок, связанную с экосистемой npm, где множество зараженных пакетов содержат сложное вредоносное ПО. Атака использует многоэтапный процесс загрузки для проникновения в системы. В частности, зараженные пакеты npm включают измененный файл package.json, который перенаправляет на предустановочный скрипт с именем setup_bun.js . Этот скрипт маскируется под установщик для законной среды выполнения Bun JavaScript, в то время как его фактическая функция заключается в создании среды для выполнения вредоносного ПО.

После активации вредоносное ПО проводит сбор учетных записей из различных источников. Он использует украденные токены GitHub для создания общедоступных репозиториев, в описании которых есть отличительный знак: "Sha1-Hulud: Второе пришествие". Эти хранилища действуют как dropbox для кражи учетных данных и системной информации, что еще больше облегчает эксфильтрацию данных.

Вредоносное ПО также распространяется по Цепочке поставок, загружая все пакеты, управляемые зараженным объектом, внедряя setup_bun.js загружается в их предустановленные скрипты, объединяя вредоносную полезную нагрузку (bun_environment.js ), увеличивая номера версий пакетов, а затем повторно отправляя испорченные пакеты обратно в npm.

Критическим аспектом этого вредоносного ПО является его "dead man's switch", который включает в себя деструктивную полезную нагрузку, предназначенную для защиты инфраструктуры вредоносного ПО от потенциальных попыток удаления. Этот механизм указывает на более продвинутый подход к атакам по Цепочке поставок, когда риск сопутствующего ущерба используется в качестве сдерживающего фактора против вмешательства.