#ParsedReport #CompletenessLow
18-12-2025

Quishing Campaigns : Advanced QR-Code Phishing Evaluation and Insights

https://www.cyfirma.com/research/quishing-campaigns-advanced-qr-code-phishing-evaluation-and-insights/

Report completeness: Low

Threats:
Qshing_technique
Credential_harvesting_technique
Spear-phishing_technique

Industry:
Education

TTPs:
Tactics: 7
Technics: 12

Algorithms:
xor

Languages:
javascript

SIGMA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавний анализ, проведенный CYFIRMA, выявил продвинутую кампанию фишинга с использованием QR-кодов, известную как "quishing", которая нацелена на сотрудников с помощью срочных сообщений, связанных с выплатой заработной платы. Этот метод использует социальную инженерию и запутанные скрипты, что затрудняет системам безопасности обнаружение этих угроз, особенно по мере того, как атаки переносятся на персональные мобильные устройства. В кампании используется динамически генерируемая инфраструктура, позволяющая злоумышленникам обходить традиционные меры безопасности и эффективно собирать учетные данные пользователей.
-----

Недавний анализ, проведенный CYFIRMA, выявил продвинутую кампанию фишинга с использованием QR-кодов, получившую название "quishing", для эффективной рассылки сотрудникам сообщений, связанных с начислением заработной платы и компенсациями. Этот метод использует персонализированную тактику социальной инженерии и запутанные сценарии, что усложняет системам безопасности обнаружение и блокирование таких попыток. Используя динамически генерируемую инфраструктуру, кампания значительно повышает шансы на вовлечение пользователей, обходя при этом стандартные меры безопасности.

Атака, как правило, начинается с фишинг-рассылки по электронной почте, которая имитирует уведомление об обновлении платежной ведомости, призванное создать ощущение срочности. Получателям предлагается отсканировать QR-код, а не переходить по традиционным ссылкам, что переносит зону атаки на персональные мобильные устройства, которым часто не хватает надежной видимости безопасности. Этот метод позволяет злоумышленникам обходить обычные фильтры безопасности электронной почты, которые в первую очередь ориентированы на встроенные гиперссылки.

Наблюдения CYFIRMA указывают на то, что эти нацеленные электронные письма создаются таким образом, чтобы казаться законными, сочетая знакомый язык и срочность, связанную с процессами вознаграждения сотрудников, чтобы побудить к взаимодействию. Стратегический выбор использования QR-кодов вместо прямых ссылок еще больше снижает риск автоматического обнаружения, иллюстрируя сложную эволюцию тактики фишинга, которая фокусируется на сборе учетных данных.

Чтобы расширить возможности обнаружения, CYFIRMA ввела правило Sigma, направленное на выявление фишингов электронных писем на тему заработной платы, содержащих QR-коды. Правило нацелено на ключевые слова, связанные с обновлением заработной платы и компенсациями, наряду с показателями, связанными со сканированием QR, которые могут помочь отличить эти вредоносные сообщения от законных.

Таким образом, анализ CYFIRMA выявляет многогранную кампанию фишинга, которая объединяет социальную инженерию, техническое обфускацию и специфическую для жертвы инфраструктуру для эффективного компрометирования учетных данных пользователей. Использование QR-кодов, наряду с динамически изменяющимися URL-адресами и методами шифрования, усложняет процессы обнаружения и анализа для организаций. Полученные результаты подчеркивают необходимость повышения осведомленности пользователей, упреждающего мониторинга и внедрения средств защиты, основанных на разведданных, для защиты данных организации от таких сложных и персонализированных киберугроз.

#ParsedReport #CompletenessMedium
18-12-2025

LongNosedGoblin tries to sniff out governmental affairs in Southeast Asia and Japan

https://www.welivesecurity.com/en/eset-research/longnosedgoblin-tries-sniff-out-governmental-affairs-southeast-asia-japan/

Report completeness: Medium

Actors/Campaigns:
Longnosedgoblin (motivation: cyber_espionage)
Webworm

Threats:
Nosyhistorian
Nosydoor
Nosystealer
Nosydownloader
Nosylogger
Lolbin_technique
Luckystrike
Cobalt_strike_tool

Victims:
Governmental entities

Industry:
Government

Geo:
China, Asia, Japan, Asian, Russian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.005, T1218, T1546.009

IOCs:
File: 14
Path: 4

Soft:
Microsoft OneDrive, Active Directory, Google Chrome, Microsoft Edge, Mozilla Firefox, Google Chrome, Microsoft Edge, Windows scheduled task

Algorithms:
base64, des

Functions:
GetBrowserHistory

Languages:
csharp

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
LongNosedGoblin, ориентированный на Китай APT, нацелен на правительственные организации в Юго-Восточной Азии и Японии для кибершпионажа, используя групповую политику для развертывания пользовательского вредоносного ПО, включая NosyDoor. Активность впервые была отмечена в феврале 2024 года с последующим развертыванием NosyDownloader и NosyHistorian, причем последний извлекал данные браузера для профилирования. NosyDoor работает в рамках трехэтапного процесса, используя C# /.NET-дроппер и внедрение AppDomainManager, включая законные двоичные файлы, чтобы избежать обнаружения, и используя Облачные сервисы для управления.
-----

LongNosedGoblin кита-выровнены apt-группировка выявленных компанией ESET исследователей, ориентированных государственных образований в Юго-Восточной Азии и Японии проводит операции кибершпионажа. Эта группа подвиги групповой политики в Windows механизм управления, которые обычно связаны с активным каталогом, чтобы развернуть их вредоносное ПО и выполнить боковые движения в скомпрометированной сети. Исследователи впервые заметили подозрительную активность в феврале 2024 года, когда неизвестное вредоносное ПО был обнаружен на правительственной системы, которое привело к открытию пользовательского бэкдор известный как NosyDoor. Развертывание вредоносного ПО происходило на нескольких компьютерах, демонстрируя скоординированную стратегию атаки.

Приписывание LongNosedGoblin было основано на используемом отличительном наборе инструментов и используемых методах перемещения внутри компании, которые включали злоупотребление групповой политикой. Несмотря на некоторое совпадение путей к файлам с другой APT-группировкой, нацеленной на схожую демографию, вредоносное ПО, используемое LongNosedGoblin, не продемонстрировало сходства кода с кодом указанной группы.

В течение 2024 года LongNosedGoblin активно занималась внедрением загрузчика, называемого NosyDownloader, по всей Юго-Восточной Азии. В декабре в Японии была обнаружена обновленная версия другого инструмента, NosyHistorian. NosyHistorian - это приложение на C# /.NET, предназначенное для извлечения истории браузера со взломанных компьютеров, что позволяет злоумышленникам более эффективно профилировать свои цели для последующей эксплуатации с помощью Backdoor.

NosyDoor работает с простым трехэтапным потоком выполнения, начиная с dropper, который представляет собой приложение на C#/.NET с внутренним именем OneClickOperation. Сам этот дроппер распространяется через групповую политику и может маскироваться под файл политики реестра, используя такие имена файлов, как Registry.pol или, альтернативно, Registry.plo, что может быть намеренным запутыванием.

На втором этапе NosyDoor использует внедрение AppDomainManager, используя законный двоичный файл, UevAppMonitor.exe , который копируется из своего стандартного каталога в другой каталог Windows framework, облегчая выполнение окончательной полезной нагрузки. Этот процесс использует существующие системные ресурсы, чтобы избежать обнаружения, что отражает изощренный подход этого злоумышленника. Использование Облачных сервисов, таких как Microsoft OneDrive, для командования и контроля является еще одним примером современной операционной тактики группы.

#ParsedReport #CompletenessHigh
20-12-2025

Zscaler Threat Hunting Catches Evasive SideWinder APT Campaign

https://www.zscaler.com/blogs/security-research/zscaler-threat-hunting-catches-evasive-sidewinder-apt-campaign

Report completeness: High

Actors/Campaigns:
Sidewinder (motivation: cyber_espionage)

Threats:
Dll_sideloading_technique

Victims:
Indian entities, Enterprises in services, Retail, Telecommunication, Health care

Industry:
Government, Telco, Retail, Healthcare

Geo:
Chinese, Indian, India, Asian, Asia pacific

TTPs:
Tactics: 2
Technics: 12

IOCs:
File: 6
Domain: 24
Url: 4
IP: 2
Hash: 4
Path: 1

Soft:
Microsoft Defender, Windows Defender

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Изощренная кампания кибершпионажа, приписываемая APT-группировке SideWinder, нацелена на индийские организации, использующие обманчивую тактику фишинга, выдавая себя за сообщения Департамента подоходного налога Индии. Злоумышленники используют метод DLL side-loading с использованием законных двоичных файлов Microsoft Defender, чтобы избежать обнаружения и рассылать вредоносное ПО с помощью фишинга электронных писем, которые перенаправляют пользователей на мошеннические сайты. Вредоносное ПО запускается на основе проверок среды, чтобы избежать анализа в изолированной среде, устанавливая постоянный доступ через соединения со своим сервером управления.
-----

Недавнее исследование с Zscaler охота опасная обнаружила сложную кампанию кибершпионажа отнести к SideWinder apt-группировка, также известная как Rattlesnake или APT-C-17, в первую очередь была нацелена на индийский лиц. В этой кампании используется тактика обмана, Маскировка под сообщения Департамента подоходного налога Индии. Кампании участвуйте в гипер-нацелен фишинг фишинг которые использовали поддельные порталы, уделяя при этом особое внимание на секторах, в том числе услуг, розничной торговли, телекоммуникаций и здравоохранения.

Злоумышленник использует метод DLL side-loading с использованием законных двоичных файлов Microsoft Defender, в частности "SenseCE.exe ," чтобы избежать решений по обнаружению конечных точек и реагированию на них (EDR). Используя этот метод, APT может создавать вредоносные библиотеки, такие как "MpGear.dll ," сливаются с рутинными операциями системы, затрудняя традиционным продуктам безопасности отслеживание этих действий. Вредоносное ПО доставляется через электронные письма с фишингом, перенаправляющие пользователей на мошеннические сайты, где хранятся такие файлы, как "Inspection.zip " размещаются на скомпрометированных файлообменных сервисах.

Ключевая тактика включает использование средств сокращения URL-адресов и часто злоупотребляемых сервисов облачного хостинга на этапе первоначального доступа. Вредоносное ПО демонстрирует сложные методы обхода, такие как выполнение проверок среды на основе часового пояса жертвы, чтобы убедиться, что оно выполняется только в системах в целевых регионах, в данном случае в Южной Азии (UTC+5:30). Важно отметить, что это позволяет вредоносному ПО избежать обнаружения во время анализа в изолированной среде.

Цепи инфекции начинается с фишинг письмо, призывая жертву, чтобы нажать на ссылку, которая перенаправляет их на мошеннические страницы, где скачать "Inspection.zip". Этот архив содержит законных вид исполняемый призван олицетворять Tool, связанных с налоговой наряду вредоносных компонентов. После выполнения "документ проверки Review.exe" загружает вредоносный "MpGear.dll" через боковой загрузкой техника. Впоследствии вредоносное ПО подключается к его управление (С2), чтобы найти дополнительные полезные нагрузки, выполнения агента-резидента, который устанавливает постоянный доступ на хост-машине.

Для улучшения обнаружения и защиты от таких угроз Zscaler подчеркивает важность мониторинга необычных исходящих подключений, связанных с API-интерфейсами проверки времени, оповещения о выполнении подозрительных процессов из нетипичных каталогов и блокирования трафика на известные IP-адреса C2. Кроме того, внедрение расширенных политик защиты от угроз и полная проверка SSL могут значительно усилить защиту от таких нацеленных кампаний. Полученные данные подчеркивают эволюционирующий характер методов APT SideWinder, иллюстрируя его способность сочетать законные операции со злонамеренным намерением, что создает значительный риск для организаций, работающих в критически важных секторах.

#ParsedReport #CompletenessMedium
12-12-2025

ClickFix: DarkGate

https://www.pointwild.com/threat-intelligence/clickfix-darkgate

Report completeness: Medium

Threats:
Clickfix_technique
Darkgate
Clipboard_injection_technique

TTPs:
Tactics: 3
Technics: 5

IOCs:
Path: 1
Hash: 5
Url: 1

Algorithms:
base64, sha256, zip, exhibit, des

Functions:
Set-Clipboard

Languages:
autoit, javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ClickFix - это сложная угроза социальной инженерии, которая требует взаимодействия пользователя для выполнения вредоносных команд, облегчая установку вредоносного ПО без традиционного автономного поведения. Он использует PowerShell для многоэтапной атаки, загружая и выполняя вредоносный HTA-файл, используя манипуляции с буфером обмена и завершение сеанса, чтобы избежать обнаружения. Атаки используют тактику платформы MITRE ATT&CK, включая выполнение скриптов в памяти, запутывание с помощью Base64 и замаскированную полезную нагрузку, что в конечном итоге приводит к созданию инструмента удаленного доступа (RAT).
-----

"ClickFix" является примером сложного подхода социальной инженерии, который позволяет злоумышленникам компрометировать системы, заставляя пользователей самостоятельно выполнять вредоносные команды. Эта тактика основана на точной имитации рутинного устранения неполадок, обманом заставляя пользователей совершать действия, которые непреднамеренно устанавливают вредоносное ПО. В отличие от традиционного вредоносного ПО, которое работает автономно, ClickFix требует взаимодействия с пользователем, что затрудняет первоначальное обнаружение с помощью программного обеспечения безопасности.

Как только пользователь выполнит начальную команду, в системе могут проявиться специфические симптомы, указывающие на заражение. Примечательным аспектом ClickFix является использование PowerShell в сценарии многоэтапной атаки. Идентифицированная команда PowerShell не только загружает, но и выполняет вредоносный HTA-файл (HTML-приложение). Кроме того, скрипт объединяет команды манипулирования буфером обмена и завершения сеанса, выявляя намерение избежать обнаружения и скрывая следы атаки.

Фрагмент JavaScript используется как часть механизма доставки полезной нагрузки, выполняя несколько скоординированных действий при взаимодействии. Это подчеркивает многогранную стратегию, используемую злоумышленниками для облегчения развертывания вредоносного ПО за счет вовлечения пользователей.

Угроза демонстрирует специфическую тактику и методы, классифицированные в рамках системы MITRE ATT&CK. Например, выполнение скриптов PowerShell для процессов в памяти отмечено как T1059.001, в то время как тактика запутывания, использующая кодировку Base64 для сокрытия, подпадает под T1027. Для маскировки HTA-файлов под законные инструменты используется T1036, и полезная нагрузка часто извлекается по протоколу HTTP(S), классифицируемому как T1071.001. Конечное воздействие этих действий позволяет создать инструмент удаленного доступа (RAT), предоставляющий злоумышленникам полный контроль над скомпрометированными системами.

Чтобы снизить риск, пользователям рекомендуется проявлять осторожность с неожиданными запросами, запрашивающими выполнение кода, поскольку законные службы не требуют таких действий. Отказ от кода из ненадежных источников, использование надежного антивирусного программного обеспечения, которое фокусируется на поведенческом анализе, и ограничение доступа к потенциально вредоносным командам являются важнейшими превентивными мерами. В корпоративных настройках ИТ-администраторы могут внедрять политики для дополнительной защиты от этих угроз. При подозрении на заражение необходимо немедленно отключиться от Интернета и незамедлительно связаться с ИТ-службой поддержки.

Устранение этой угрозы влечет за собой перезагрузка в безопасном режиме с загрузкой сетевых драйверов и с использованием конкретных антивирусных средств, таких как UltraAV, которые может выявить и устранить вредоносные файлы, связанные с clickfix ClickFix.

Таким образом, ClickFix представляет собой сложный и эволюционирующий ландшафт угроз, в котором методы социальной инженерии все чаще используются для обхода традиционных мер безопасности, особенно подчеркивая необходимость бдительности пользователей и соблюдения передовых методов обеспечения безопасности.

#ParsedReport #CompletenessHigh
19-12-2025

WEBJACK: Evolving IIS Hij

https://labs.withsecure.com/publications/webjack.html

Report completeness: High

Actors/Campaigns:
Webjack (motivation: cyber_criminal, information_theft, financially_motivated)
Dragonrank

Threats:
Badiis
Seo_poisoning_technique
Blackseo_technique
Xlanyloader
Donut
Cobalt_strike_tool
Mimikatz_tool
M0yv
Fscan_tool
Sharp4removelog_tool
Cncrypt_protect_tool
Gotohttp_tool
Plugx_rat
Process_injection_technique
Credential_dumping_technique

Victims:
Government institutions, Universities, Technology sector, Organizations running microsoft iis servers

Industry:
Entertainment, Education, Government

Geo:
Asia, Latin america, Latin american, China, Vietnamese, Spanish, France, Vietnam, Chinese

TTPs:
Tactics: 7
Technics: 10

IOCs:
Path: 2
Domain: 13
Url: 4
File: 1
IP: 1
Hash: 20

Soft:
SoftEther, Telegram

Algorithms:
sha256, base64

Languages:
php

Links:
have more...
https://github.com/TheWover/donut/tree/master

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2, chart: 1, windows: 2, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная Кампания WEBJACK нацелена на серверы Microsoft IIS, развертывая модули семейства BadIIS для проведения SEO-мошенничества путем перенаправления пользователей на сайты азартных игр. Ключевые компоненты включают вредоносные модули "fashttp.dll " и "cgihttp.dll ", предназначенные для манипулирования индексацией поисковых систем при маскировке их вредоносной активности. Кампания имеет прочные связи с китайскими хакерскими сообществами и использует такие тактики, как использование общедоступных приложений, уклонение от обнаружения с помощью Упаковки ПО и поддержание закрепления вредоносных модулей IIS.
-----

Вредоносная Кампания WEBJACK, расследуемая STINGR из WithSecure, нацелена на серверы Microsoft IIS для развертывания вредоносных модулей, связанных с семейством вредоносных ПО BadIIS. Эта кампания использует скомпрометированные серверы для SEO-мошенничества, перенаправляя пользователей на сайты азартных игр и казино, одновременно используя репутацию таких авторитетных учреждений, как правительственные учреждения и университеты. Злоумышленник использует вредоносные модули IIS с именем "fashttp.dll " и "cgihttp.dll , " оба оснащены Enigma, программным обеспечением-защитником, которое усложняет обнаружение и анализ.

Главная оперативная тактика подразумевает сложную схему манипуляции поисковик, в котором модулей в IIS выборочно настоящем подконтрольных злоумышленникам контента для поисковых роботов двигателя, в то время как обычные посетители сталкиваются разные ответы, такие как перенаправление или ошибки. Эта манипуляция позволяет мошеннического содержимого для индексации в рамках законного доменов, в конечном счете направляет пользователей на монетизации сайтов. Модули предназначены для получения списка рандомизированных ссылки с сервера злоумышленника и впрыскивают в гусеничные видимой реакции, эффективно маскируя свои вредоносные действия от реальных посетителей.

Кроме того, злоумышленник использует ряд скомпрометированных инструментов, обычно используемых в деятельности red-team, демонстрируя сочетание методов, заимствованных у китайских хакерских сообществ. Анализ инфраструктуры выявил по меньшей мере 112 скомпрометированных доменов, 65% из которых расположены во Вьетнаме, что указывает на географически разнообразную, но заметно концентрированную операционную базу. Внедренный контент ориентирован на ключевые слова, связанные с азартными играми, преимущественно на вьетнамском и испанском языках, что подчеркивает целенаправленную ориентацию на региональные рынки.

Присвоение злоумышленник говорит о сильной связи Китая, поддерживается за счет использования таких инструментов, как XlAnyLoader и cncrypt Protect, которые обычно встречаются в красном команды и сценарии вторжения. В кампании используются различные тактики, методы и процедуры (TTP), соответствующие тем, которые используются в организованной борьбе с киберпреступностью, что указывает на структурированный подход к компрометации и эксплуатации.

Конкретные TTP включают использование общедоступных приложений для первоначального доступа и закрепление, достигаемое за счет регистрации вредоносных модулей в IIS. Кроме того, методы обхода защиты, такие как Упаковка ПО и очистка журнала событий, иллюстрируют акцент на скрытность.

Таким образом, кампания WEBJACK представляет собой эволюцию тактики взлома IIS, использующую специализированное вредоносное ПО и инструменты для облегчения масштабных манипуляций с SEO для получения финансовой выгоды, оставаясь скрытой от типичных методов обнаружения.

#ParsedReport #CompletenessMedium
18-12-2025

A Series of Unfortunate (RMM) Events

https://www.huntress.com/blog/series-of-unfortunate-rmm-events

Report completeness: Medium

Threats:
Gotoresolve_tool
Screenconnect_tool
Simplehelp_tool
Itarian_tool
Teamviewer_tool
Atera_tool
Ninjarmm_tool
Lolbin_technique

Victims:
Real estate sector, Car dealership

Geo:
Usa

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1071.001, T1105, T1204, T1219, T1566, T1566.002

IOCs:
Path: 7
Hash: 1
Url: 5
File: 10
Domain: 7

Soft:
Outlook, Windows Scheduled task, Chrome, Firefox, Microsoft Teams, ChatGPT, Claude

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние наблюдения за киберугрозами свидетельствуют об использовании программного обеспечения удаленного мониторинга и управления (RMM) злоумышленниками, часто с помощью фишинга электронных писем, которые доставляют вредоносное ПО, замаскированное под законные приложения. Известные примеры включают использование переименованных исполняемых файлов GoTo Resolve, а также использование законного программного обеспечения, такого как PDQ, для последующего развертывания вредоносных инструментов RMM, что усложняет усилия по обнаружению. Кроме того, тактика социальной инженерии все чаще используется для облегчения установки вредоносного программного обеспечения, затрудняя операциям безопасности проведение различия между законным поведением и вредоносными действиями.
-----

В ходе недавних наблюдений за киберугрозами сообщалось о серии инцидентов, связанных с использованием программного обеспечения для удаленного мониторинга и управления (RMM) злоумышленниками. 7 октября сотрудник компании, занимающейся недвижимостью, стал жертвой фишинга по электронной почте, который привел к установке вредоносного исполняемого файла Open Revised Contract (2).exe. Этот файл маскировался под законное приложение, в частности, переименованный экземпляр GoTo Resolve, подписанный компанией GoTo Technologies USA, LLC. Такая тактика подчеркивает использование социальной инженерии, распространенного метода, применяемого злоумышленниками для того, чтобы обманом заставить людей запускать вредоносное ПО.

Была отмечена последовательность атак, в которых первоначальная установка законного программного обеспечения, такого как PDQ, служит предшественником последующего развертывания дополнительных инструментов RMM. Такая тактика не только усиливает цепочку атак, но и усложняет обнаружение вредоносной активности, поскольку легальные инструменты сами по себе не вызывают немедленных подозрений. Также были обнаружены экземпляры других приложений RMM, таких как Chrome Remote Desktop, Atera и ITarian, причем ITarian конкретно был причастен к более ранним инцидентам, когда злоумышленники запускали дополнительные установщики ScreenConnect.

В другом примечательном случае пользователь в автосалоне запустил вредоносную программу установки GoTo Resolve, OPENINVITATION.exe , загруженный с домена abre.ai . Этот инцидент высвечивает более широкую тенденцию, в рамках которой злоумышленники используют электронные письма с фишингом, содержащие тактику социальной инженерии, для распространения инструментов RMM, используя легитимность этих приложений, чтобы избежать обнаружения.

Продолжающееся использование программного обеспечения RMM злоумышленниками-акторами оказалось проблемой для центров управления безопасностью (SOCS), поскольку провести различие между законным поведением пользователей и злонамеренным намерением может быть чрезвычайно сложно. Поскольку эти инструменты предназначены для удаленного управления, их присутствие в скомпрометированных системах стирает границы, что делает необходимым для организаций внедрение комплексных стратегий обнаружения угроз и реагирования на них для защиты от этих развивающихся методов.

#ParsedReport #CompletenessHigh
18-12-2025

I am not a robot: ClickFix used to deploy StealC and Qilin

https://www.sophos.com/en-us/blog/i-am-not-a-robot-clickfix-used-to-deploy-stealc-and-qilin

Report completeness: High

Actors/Campaigns:
Qilin

Threats:
Clickfix_technique
Stealc
Qilin_ransomware
Netsupportmanager_rat
Shanya_tool

Industry:
E-commerce

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1027, T1189, T1204.001, T1218.011, T1574.002

IOCs:
Domain: 2
Url: 2
File: 2
Path: 1
IP: 1
Hash: 4

Algorithms:
sha256, zip, md5, sha1

Languages:
javascript, php