#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ShadyPanda представляет собой эволюцию в области киберугроз, использующую надежные расширения браузера для доставки вредоносного ПО, а не традиционного фишинга или использования zero-day. С 2024 по 2025 год актор скомпрометировал миллионы пользователей, внедрив вредоносные возможности в законные расширения, что выявило значительное слабое место в системе безопасности. Этот подход фокусируется на использовании доверия пользователей к существующему программному обеспечению, а не на прямых атаках, что требует переоценки методов обеспечения безопасности в экосистеме расширений для браузера.
-----

ShadyPanda представляет собой значительный сдвиг в тактике борьбы с киберугрозами, используя надежные расширения браузера в качестве средства доставки вредоносного ПО вместо того, чтобы полагаться на традиционные методы, такие как фишинг или использование уязвимостей zero-day. В период с 2024 по 2025 год этот злоумышленник успешно скомпрометировал миллионы пользователей, внедрив вредоносные возможности в законные расширения браузера, продемонстрировав, как обычное программное обеспечение может превратиться в серьезную проблему безопасности. Их метод основан на использовании врожденного доверия пользователей к расширениям, а не на прямых атаках на недостатки программного обеспечения.

Эта сложная операция вызвала тревогу у организаций, указывая на то, что экосистема расширений для браузера стала новым слепым пятном в области кибербезопасности. Действия ShadyPanda's показывают, как злоумышленники могут использовать, казалось бы, законные инструменты для бесшумного проникновения в среду пользователей, что повышает важность упреждающих мер безопасности, выходящих за рамки стандартного исправления.

Для борьбы с угрозами, подобными ShadyPanda, организациям рекомендуется внедрять такие решения, как Qualys TruRisk Eliminate, которые помогают выявлять рискованное поведение, связанное с расширениями браузера. Инструмент определяет приоритеты подлинных угроз и помогает устранить вредоносные компоненты до того, как они смогут быть использованы. Два важных шага, рекомендуемых для усиления защиты, включают внедрение автоматических исправлений с нулевым касанием для безопасного обновления браузера на конечных точках, что сводит к минимуму подверженность угрозам со стороны вредоносных расширений, и использование сценариев CAR для быстрого выявления и удаления нестандартных или вредоносных расширений.

Стратегия требует всесторонней очистки установленных расширений, гарантируя, что они соответствуют утвержденному списку, и немедленно устраняя все, что считается ненадежным. По мере развития киберугроз важность использования поведенческого анализа и упреждающего управления рисками становится первостепенной для предприятий, стремящихся защитить свои активы и данные от таких изощренных атак.

#ParsedReport #CompletenessMedium
17-12-2025

Inside DPRK Operations: New Lazarus and Kimsuky Infrastructure Uncovered Across Global Campaigns

https://hunt.io/blog/dprk-lazarus-kimsuky-infrastructure-uncovered

Report completeness: Medium

Actors/Campaigns:
Lazarus (motivation: cyber_espionage)
Kimsuky (motivation: cyber_espionage)
Smoothoperator
Famous_chollima
Bluenoroff

Threats:
Credential_harvesting_technique
Http_troy
Blindingcan
Memload
Supply_chain_technique
Badcall
Passview_tool
Passwordfox_tool
Netpass_tool
Dialupass_tool
Pstpassword_tool
Rclone_tool
Mythic_c2
Quasar_rat
Sqlmap_tool
Masscan_tool
Nmap_tool
Ngrok_tool
Microsocks_tool
Frpc_tool
Impacket_tool
Nuclei_tool
Mimikatz_tool
Poolrat
Fastreverseproxy_tool
Opendir_technique

Geo:
Hong kong, Chinese, Singapore, North korean, Dprk, Ireland

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036, T1041, T1053, T1057, T1059, T1078, T1090, T1102, have more...

IOCs:
IP: 38
Hash: 8
File: 11
Domain: 1

Soft:
Linux, Burp Suite

Algorithms:
sha256, exhibit, zip

Functions:
Fake_Cmd, logMessage

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследование деятельности северокорейских хакерских группировок, таких как Lazarus и Kimsuky, выявило использование ими сложных методов для получения разведывательной информации и финансовой выгоды, таких как использование открытых структур каталогов для промежуточных узлов и инструментов сбора учетных записей. Известный инструмент, бэкдор Badcall, сыграл свою роль в 3CX supply-chain attack 2023 года, продемонстрировав свою адаптивность. В открытых каталогах были обнаружены обширные коллекции вредоносных инструментов, что указывает на хорошо отлаженную инфраструктуру, использующую быстрый обратный прокси-сервер для обеспечения согласованности работы кампаний.
-----

Недавние расследования северокорейских хакерских операций выявили продолжающуюся деятельность таких групп, как Lazarus и Kimsuky. Эти спонсируемые государством кибер-акторы используют сложные методы для сбора разведывательных данных, получения финансовой выгоды и более широких оперативных целей. Их кампании демонстрируют отличительные закономерности, используя открытые структуры каталогов в качестве промежуточных узлов, последовательное использование инструментов сбора учетных записей и повторяющуюся вредоносную инфраструктуру в различных глобальных кампаниях.

Одно из важнейших открытий относится к бэкдору Badcall, который связан с операциями Lazarus. Linux-вариант Badcall сыграл заметную роль в 3CX supply-chain Attack 2023 года, что указывает на адаптируемость вредоносного ПО к сменным сценариям и сценариям после эксплуатации. Операции Lazarus также использовали открытые каталоги, содержащие множество наборов для кражи учетных данных, замаскированных под законные инструменты. Например, недавняя атака, Маскировка под оценку найма персонала NVIDIA, привела к обнаружению двух утилит для восстановления учетных данных, MailPassView и WebBrowserPassView, которые использовались для извлечения конфиденциальной информации.

Анализ открытой инфраструктуры показал преобладание обширных коллекций инструментов. В одном наблюдении из открытого каталога по IP-адресу 207.254.22.248 был обнаружен набор инструментов для кражи учетных данных, состоящий из различных инструментов для восстановления и извлечения паролей, объемом 112 МБ. Другая важная находка на 149.28.139.62 выявила еще большую коллекцию объемом 270 МБ, которая включала компоненты Quasar RAT наряду с инструментами сбора учетных записей и утилитами для передачи файлов. Кроме того, хостинг по адресу 154.216.177.215 обнаружил массивный набор данных объемом 2 ГБ с вредоносными инструментами безопасности и многочисленными скриптами, предназначенными для использования и сбора данных.

Эти усилия по расследованию также выявили зависимость инфраструктуры от Fast Reverse Proxy (FRP), которая связывает различные кампании, сохраняя при этом постоянный оперативный охват. Развертывание двоичных файлов FRP на нескольких узлах VPS, работающих одинаково, иллюстрирует предсказуемую схему, которую можно отслеживать для получения дополнительной информации о деятельности КНДР.

Ключевые рекомендации для защитников включают мониторинг случаев уязвимости open directory, которые могут содержать эти вредоносные наборы инструментов, распознавание повторных развертываний FRP, создающих наблюдаемые шаблоны, и выявление повторного использования сертификатов, которые могут подвергать опасности кластеры операционной инфраструктуры. Кроме того, отслеживание исторической телеметрии провайдеров общего доступа к VPS может помочь выявить и сорвать новые кампании до того, как они полностью реализуются.

#ParsedReport #CompletenessMedium
19-12-2025

APT-C-36 (Blind Eagle) utilizes Hijackloader for attack activities

https://www.ctfiot.com/287745.html

Report completeness: Medium

Actors/Campaigns:
Blindeagle
Purecoder

Threats:
Hijackloader
Heavens_gate_technique
Rshell
Dotnet_reactor_tool

Geo:
Colombia

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1055, T1204, T1562

IOCs:
File: 18
Hash: 4
Domain: 1

Soft:
NET Reactor, WeChat

Algorithms:
gzip, base64, lznt1, crc-32, zip

Win API:
LoadLibrary, VirtualProtect, RtlDecompressBuffer, NtQuerySystemInformation, CreateProcessW, NtDelayExecution, NtOpenProcess, NtGetContextThread, NtSetContextThread, NtResumeThread, have more...

Win Services:
bits, avastsvc

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-C-36, также известный как Blind Eagle, использует модульную вредоносную полезную нагрузку под названием Hijackloader в своих кампаниях атак. Этот загрузчик использует многоступенчатые и повторяющиеся методы внедрения шелл-кода, создавая сложные цепочки атак, которые скрывают его действия и усложняют усилия по обнаружению. Адаптивность Hijackloader повышает его эффективность в различных сценариях эксплуатации, позволяя APT-C-36 достигать своих целей, обходя меры безопасности.
-----

Было замечено, что APT-C-36, также известный как Blind Eagle, использует вредоносную полезную нагрузку под названием Hijackloader в рамках своих атакующих кампаний. Этот загрузчик работает по модульному принципу, что позволяет ему выполнять различные методы внедрения, включая многоступенчатые и повторяющиеся внедрения шелл-кода. Такая сложность разработана для повышения ее эффективности в различных сценариях атак.

Модульная природа Hijackloader позволяет злоумышленнику адаптировать загрузчик для различных случаев эксплуатации, повышая его универсальность. Повторяющийся метод внедрения шеллкода в сочетании с многоэтапным выполнением создает сложную цепочку атак, которая может ввести жертв в заблуждение и затруднить судебно-медицинский анализ. Используя эти сложные методы, APT-C-36 стремится запутать свою деятельность, усложнить процессы обнаружения систем безопасности и, в конечном счете, достичь своих вредоносных целей без подачи предупреждений.

#ParsedReport #CompletenessLow
19-12-2025

Atomic macOS stealer is spreading via ChatGPT and Grok answers

https://moonlock.com/amos-stealer-spread-chatgpt-grok

Report completeness: Low

Threats:
Amos_stealer
Ai-clickfix_technique
Clickfix_technique

Victims:
Macos users

ChatGPT TTPs:
do not use without manual check
T1204, T1566

Soft:
macOS, ChatGPT, Ledger Live, Chrome, Firefox, OpenAI

Wallets:
electrum, metamask, coinbase

Algorithms:
base64

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Стиллер Atomic macOS (AMOS) распространяется через платформы искусственного интеллекта, используя социальную инженерию, чтобы обманом заставить пользователей загружать вредоносное ПО по, казалось бы, заслуживающим доверия ссылкам. Этот вариант поддерживает те же функциональные возможности, что и более ранние версии, и представляет значительную угрозу для пользователей macOS из-за компрометации конфиденциальной информации. Кампания подчеркивает уязвимость, связанную с контентом, генерируемым искусственным интеллектом, и растущую распространенность стиллеров macOS в среде киберпреступников.
-----

Стиллер Atomic macOS (AMOS) в настоящее время распространяется через платформы искусственного интеллекта, такие как ChatGPT и Grok, демонстрируя легкость, с которой злоумышленники-акторы могут использовать эти технологии для обмена вредоносным контентом. Этот вариант обладает теми же функциональными возможностями, что и ранее идентифицированные экземпляры AMOS, что делает его серьезной угрозой для пользователей macOS. Кампания освещает тактику киберпреступников, которые создают общедоступные ссылки, по которым можно распространять AMOS, привлекая внимание к уязвимостям, связанным с контентом, генерируемым искусственным интеллектом.

Метод распространения, используемый злоумышленниками, в значительной степени опирается на социальную инженерию, извлекая выгоду из доверия пользователей к платформам искусственного интеллекта. Создавая ссылки, которые кажутся заслуживающими доверия, они повышают вероятность того, что пользователи непреднамеренно загрузят вредоносное ПО. AMOS не только компрометирует конфиденциальную информацию, но и является примером более широкой тенденции появления стиллеров macOS, которые распространяются в среде киберпреступников.

Чтобы снизить риск таких угроз, она имеет важное значение для пользователей проявлять бдительность в отношении новейшее вредоносное ПО распространения вредоносных программ, особенно связанных с ИИ. Понимание потенциальных рисков, связанных с публичных ссылок может помочь пользователям выявлять и пресекать попытки внедрить вредоносное ПО на своих систем, эффективно нарушая цепочки атаки, прежде чем он может взять.

#ParsedReport #CompletenessLow
18-12-2025

Quishing Campaigns : Advanced QR-Code Phishing Evaluation and Insights

https://www.cyfirma.com/research/quishing-campaigns-advanced-qr-code-phishing-evaluation-and-insights/

Report completeness: Low

Threats:
Qshing_technique
Credential_harvesting_technique
Spear-phishing_technique

Industry:
Education

TTPs:
Tactics: 7
Technics: 12

Algorithms:
xor

Languages:
javascript

SIGMA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавний анализ, проведенный CYFIRMA, выявил продвинутую кампанию фишинга с использованием QR-кодов, известную как "quishing", которая нацелена на сотрудников с помощью срочных сообщений, связанных с выплатой заработной платы. Этот метод использует социальную инженерию и запутанные скрипты, что затрудняет системам безопасности обнаружение этих угроз, особенно по мере того, как атаки переносятся на персональные мобильные устройства. В кампании используется динамически генерируемая инфраструктура, позволяющая злоумышленникам обходить традиционные меры безопасности и эффективно собирать учетные данные пользователей.
-----

Недавний анализ, проведенный CYFIRMA, выявил продвинутую кампанию фишинга с использованием QR-кодов, получившую название "quishing", для эффективной рассылки сотрудникам сообщений, связанных с начислением заработной платы и компенсациями. Этот метод использует персонализированную тактику социальной инженерии и запутанные сценарии, что усложняет системам безопасности обнаружение и блокирование таких попыток. Используя динамически генерируемую инфраструктуру, кампания значительно повышает шансы на вовлечение пользователей, обходя при этом стандартные меры безопасности.

Атака, как правило, начинается с фишинг-рассылки по электронной почте, которая имитирует уведомление об обновлении платежной ведомости, призванное создать ощущение срочности. Получателям предлагается отсканировать QR-код, а не переходить по традиционным ссылкам, что переносит зону атаки на персональные мобильные устройства, которым часто не хватает надежной видимости безопасности. Этот метод позволяет злоумышленникам обходить обычные фильтры безопасности электронной почты, которые в первую очередь ориентированы на встроенные гиперссылки.

Наблюдения CYFIRMA указывают на то, что эти нацеленные электронные письма создаются таким образом, чтобы казаться законными, сочетая знакомый язык и срочность, связанную с процессами вознаграждения сотрудников, чтобы побудить к взаимодействию. Стратегический выбор использования QR-кодов вместо прямых ссылок еще больше снижает риск автоматического обнаружения, иллюстрируя сложную эволюцию тактики фишинга, которая фокусируется на сборе учетных данных.

Чтобы расширить возможности обнаружения, CYFIRMA ввела правило Sigma, направленное на выявление фишингов электронных писем на тему заработной платы, содержащих QR-коды. Правило нацелено на ключевые слова, связанные с обновлением заработной платы и компенсациями, наряду с показателями, связанными со сканированием QR, которые могут помочь отличить эти вредоносные сообщения от законных.

Таким образом, анализ CYFIRMA выявляет многогранную кампанию фишинга, которая объединяет социальную инженерию, техническое обфускацию и специфическую для жертвы инфраструктуру для эффективного компрометирования учетных данных пользователей. Использование QR-кодов, наряду с динамически изменяющимися URL-адресами и методами шифрования, усложняет процессы обнаружения и анализа для организаций. Полученные результаты подчеркивают необходимость повышения осведомленности пользователей, упреждающего мониторинга и внедрения средств защиты, основанных на разведданных, для защиты данных организации от таких сложных и персонализированных киберугроз.

#ParsedReport #CompletenessMedium
18-12-2025

LongNosedGoblin tries to sniff out governmental affairs in Southeast Asia and Japan

https://www.welivesecurity.com/en/eset-research/longnosedgoblin-tries-sniff-out-governmental-affairs-southeast-asia-japan/

Report completeness: Medium

Actors/Campaigns:
Longnosedgoblin (motivation: cyber_espionage)
Webworm

Threats:
Nosyhistorian
Nosydoor
Nosystealer
Nosydownloader
Nosylogger
Lolbin_technique
Luckystrike
Cobalt_strike_tool

Victims:
Governmental entities

Industry:
Government

Geo:
China, Asia, Japan, Asian, Russian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.005, T1218, T1546.009

IOCs:
File: 14
Path: 4

Soft:
Microsoft OneDrive, Active Directory, Google Chrome, Microsoft Edge, Mozilla Firefox, Google Chrome, Microsoft Edge, Windows scheduled task

Algorithms:
base64, des

Functions:
GetBrowserHistory

Languages:
csharp

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
LongNosedGoblin, ориентированный на Китай APT, нацелен на правительственные организации в Юго-Восточной Азии и Японии для кибершпионажа, используя групповую политику для развертывания пользовательского вредоносного ПО, включая NosyDoor. Активность впервые была отмечена в феврале 2024 года с последующим развертыванием NosyDownloader и NosyHistorian, причем последний извлекал данные браузера для профилирования. NosyDoor работает в рамках трехэтапного процесса, используя C# /.NET-дроппер и внедрение AppDomainManager, включая законные двоичные файлы, чтобы избежать обнаружения, и используя Облачные сервисы для управления.
-----

LongNosedGoblin кита-выровнены apt-группировка выявленных компанией ESET исследователей, ориентированных государственных образований в Юго-Восточной Азии и Японии проводит операции кибершпионажа. Эта группа подвиги групповой политики в Windows механизм управления, которые обычно связаны с активным каталогом, чтобы развернуть их вредоносное ПО и выполнить боковые движения в скомпрометированной сети. Исследователи впервые заметили подозрительную активность в феврале 2024 года, когда неизвестное вредоносное ПО был обнаружен на правительственной системы, которое привело к открытию пользовательского бэкдор известный как NosyDoor. Развертывание вредоносного ПО происходило на нескольких компьютерах, демонстрируя скоординированную стратегию атаки.

Приписывание LongNosedGoblin было основано на используемом отличительном наборе инструментов и используемых методах перемещения внутри компании, которые включали злоупотребление групповой политикой. Несмотря на некоторое совпадение путей к файлам с другой APT-группировкой, нацеленной на схожую демографию, вредоносное ПО, используемое LongNosedGoblin, не продемонстрировало сходства кода с кодом указанной группы.

В течение 2024 года LongNosedGoblin активно занималась внедрением загрузчика, называемого NosyDownloader, по всей Юго-Восточной Азии. В декабре в Японии была обнаружена обновленная версия другого инструмента, NosyHistorian. NosyHistorian - это приложение на C# /.NET, предназначенное для извлечения истории браузера со взломанных компьютеров, что позволяет злоумышленникам более эффективно профилировать свои цели для последующей эксплуатации с помощью Backdoor.

NosyDoor работает с простым трехэтапным потоком выполнения, начиная с dropper, который представляет собой приложение на C#/.NET с внутренним именем OneClickOperation. Сам этот дроппер распространяется через групповую политику и может маскироваться под файл политики реестра, используя такие имена файлов, как Registry.pol или, альтернативно, Registry.plo, что может быть намеренным запутыванием.

На втором этапе NosyDoor использует внедрение AppDomainManager, используя законный двоичный файл, UevAppMonitor.exe , который копируется из своего стандартного каталога в другой каталог Windows framework, облегчая выполнение окончательной полезной нагрузки. Этот процесс использует существующие системные ресурсы, чтобы избежать обнаружения, что отражает изощренный подход этого злоумышленника. Использование Облачных сервисов, таких как Microsoft OneDrive, для командования и контроля является еще одним примером современной операционной тактики группы.

#ParsedReport #CompletenessHigh
20-12-2025

Zscaler Threat Hunting Catches Evasive SideWinder APT Campaign

https://www.zscaler.com/blogs/security-research/zscaler-threat-hunting-catches-evasive-sidewinder-apt-campaign

Report completeness: High

Actors/Campaigns:
Sidewinder (motivation: cyber_espionage)

Threats:
Dll_sideloading_technique

Victims:
Indian entities, Enterprises in services, Retail, Telecommunication, Health care

Industry:
Government, Telco, Retail, Healthcare

Geo:
Chinese, Indian, India, Asian, Asia pacific

TTPs:
Tactics: 2
Technics: 12

IOCs:
File: 6
Domain: 24
Url: 4
IP: 2
Hash: 4
Path: 1

Soft:
Microsoft Defender, Windows Defender

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Изощренная кампания кибершпионажа, приписываемая APT-группировке SideWinder, нацелена на индийские организации, использующие обманчивую тактику фишинга, выдавая себя за сообщения Департамента подоходного налога Индии. Злоумышленники используют метод DLL side-loading с использованием законных двоичных файлов Microsoft Defender, чтобы избежать обнаружения и рассылать вредоносное ПО с помощью фишинга электронных писем, которые перенаправляют пользователей на мошеннические сайты. Вредоносное ПО запускается на основе проверок среды, чтобы избежать анализа в изолированной среде, устанавливая постоянный доступ через соединения со своим сервером управления.
-----

Недавнее исследование с Zscaler охота опасная обнаружила сложную кампанию кибершпионажа отнести к SideWinder apt-группировка, также известная как Rattlesnake или APT-C-17, в первую очередь была нацелена на индийский лиц. В этой кампании используется тактика обмана, Маскировка под сообщения Департамента подоходного налога Индии. Кампании участвуйте в гипер-нацелен фишинг фишинг которые использовали поддельные порталы, уделяя при этом особое внимание на секторах, в том числе услуг, розничной торговли, телекоммуникаций и здравоохранения.

Злоумышленник использует метод DLL side-loading с использованием законных двоичных файлов Microsoft Defender, в частности "SenseCE.exe ," чтобы избежать решений по обнаружению конечных точек и реагированию на них (EDR). Используя этот метод, APT может создавать вредоносные библиотеки, такие как "MpGear.dll ," сливаются с рутинными операциями системы, затрудняя традиционным продуктам безопасности отслеживание этих действий. Вредоносное ПО доставляется через электронные письма с фишингом, перенаправляющие пользователей на мошеннические сайты, где хранятся такие файлы, как "Inspection.zip " размещаются на скомпрометированных файлообменных сервисах.

Ключевая тактика включает использование средств сокращения URL-адресов и часто злоупотребляемых сервисов облачного хостинга на этапе первоначального доступа. Вредоносное ПО демонстрирует сложные методы обхода, такие как выполнение проверок среды на основе часового пояса жертвы, чтобы убедиться, что оно выполняется только в системах в целевых регионах, в данном случае в Южной Азии (UTC+5:30). Важно отметить, что это позволяет вредоносному ПО избежать обнаружения во время анализа в изолированной среде.

Цепи инфекции начинается с фишинг письмо, призывая жертву, чтобы нажать на ссылку, которая перенаправляет их на мошеннические страницы, где скачать "Inspection.zip". Этот архив содержит законных вид исполняемый призван олицетворять Tool, связанных с налоговой наряду вредоносных компонентов. После выполнения "документ проверки Review.exe" загружает вредоносный "MpGear.dll" через боковой загрузкой техника. Впоследствии вредоносное ПО подключается к его управление (С2), чтобы найти дополнительные полезные нагрузки, выполнения агента-резидента, который устанавливает постоянный доступ на хост-машине.

Для улучшения обнаружения и защиты от таких угроз Zscaler подчеркивает важность мониторинга необычных исходящих подключений, связанных с API-интерфейсами проверки времени, оповещения о выполнении подозрительных процессов из нетипичных каталогов и блокирования трафика на известные IP-адреса C2. Кроме того, внедрение расширенных политик защиты от угроз и полная проверка SSL могут значительно усилить защиту от таких нацеленных кампаний. Полученные данные подчеркивают эволюционирующий характер методов APT SideWinder, иллюстрируя его способность сочетать законные операции со злонамеренным намерением, что создает значительный риск для организаций, работающих в критически важных секторах.

#ParsedReport #CompletenessMedium
12-12-2025

ClickFix: DarkGate

https://www.pointwild.com/threat-intelligence/clickfix-darkgate

Report completeness: Medium

Threats:
Clickfix_technique
Darkgate
Clipboard_injection_technique

TTPs:
Tactics: 3
Technics: 5

IOCs:
Path: 1
Hash: 5
Url: 1

Algorithms:
base64, sha256, zip, exhibit, des

Functions:
Set-Clipboard

Languages:
autoit, javascript, powershell