#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО "Wonderland" для Android SMS stealer представляет собой эволюцию тактики киберпреступников в Узбекистане, использующее передовые методы, такие как зашифрованная доставка полезной нагрузки и функции антианализа для обхода мер безопасности. Злоумышленники используют дропперы, такие как "MidnightDat" и "RoundRift", для распространения вредоносных APK-файлов, замаскированных под законные приложения, включая двунаправленную связь через WebSocket для удаленного выполнения команд. Последние варианты демонстрируют сложную систему запутывания и проверки на модифицированных устройствах, что свидетельствует о продолжающейся адаптации вредоносного ПО для обхода обнаружения.
-----

Недавний анализ выявил значительную эволюцию вредоносного ПО для Android SMS stealer в Узбекистане, с особым акцентом на новое семейство вредоносных ПО под названием "Wonderland". Это семейство означает заметный сдвиг в тактике киберпреступников, включающий передовые методы, такие как доставка зашифрованной полезной нагрузки, усовершенствованные механизмы распространения и функции антианализа, позволяющие избежать обнаружения современными мерами безопасности Android.

Киберпреступники в основном используют два типа дропперов для распространения вредоносного ПО, причем Telegram становится центральным каналом распространения. Этот метод включает в себя создание вредоносных APK-файлов, которые маскируются под законные приложения, чтобы избежать подозрений пользователей. Как правило, эти дропперы предназначены для скрытой доставки основной полезной нагрузки, обеспечивая минимальное обнаружение вредоносного ПО. Например, дроппер "MidnightDat" встраивает свою полезную нагрузку стиллера в зашифрованный файл данных, в то время как "RoundRift" использует более простую методологию шифрования для извлечения вторичных полезных данных.

Схема работы этих киберпреступных групп иллюстрирует хорошо структурированную иерархию, включая роли разработчиков и сотрудников, которым поручено распространять вредоносное ПО с помощью различных средств, таких как поддельные страницы Google Play, реклама в Социальных сетях и вводящие в заблуждение профили знакомств. Примечательно, что вредоносное ПО "Страна чудес" использует двунаправленную связь через WebSocket, позволяя злоумышленникам удаленно выполнять команды, отправлять SMS-сообщения и даже отправлять USSD-запросы непосредственно с зараженных устройств.

Более того, последние версии вредоносного ПО демонстрируют изощренное использование методов обфускации для защиты своего кода и включают проверки, блокирующие выполнение на модифицированных устройствах. Это радикальное изменение по сравнению с предыдущими атаками, которые в основном собирали логи SMS линейным способом без особой сложности. По мере развития методов обнаружения вредоносного ПО меняются и методы, используемые злоумышленниками, причем дропперы становятся предпочтительнее из-за их способности обходить строгие требования к разрешениям и уклоняться от проверок безопасности в режиме реального времени.

Чтобы смягчить эти возникающие угрозы, эксперты рекомендуют пользователям проявлять бдительность, советуя им избегать установки APK-файлов из неизвестных источников, быть внимательными к необычному поведению приложений и следовать протоколам безопасности, таким как включение встроенных функций безопасности Android. В целом, этот эволюционирующих угроз подчеркивает необходимость непрерывной адаптации в наступательных и оборонительных кибербезопасность кибербезопасность.

#ParsedReport #CompletenessLow
15-12-2025

Russian APT actor phishes the Baltics and the Balkans

https://strikeready.com/blog/russian-apt-actor-phishes-the-baltics-and-the-balkans/

Report completeness: Low

Victims:
Government

Industry:
Government

Geo:
Russian, Macedonia, Bosnia and herzegovina, Spain, Bulgaria, Moldova, Montenegro, Ukraine, Lithuania

ChatGPT TTPs:
do not use without manual check
T1056.003, T1204.002, T1566.001, T1585.002

IOCs:
File: 11
Hash: 15

Soft:
Outlook

Languages:
javascript

Links:
https://github.com/StrikeReady-Inc/research/blob/main/2025-12-13%20RU%20phishing/files.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
5 декабря российский актор APT провел кампанию фишинга, нацеленную на руководящий орган Приднестровья, используя подмену электронной почты, чтобы выдать себя за законные организации и запросить конфиденциальную информацию. Эта тактика отражает продолжающиеся киберугрозы со стороны российских акторов, особенно в политически напряженных регионах, и подчеркивает использование фишинга с Вредоносными ссылками или вложениями для получения учетных данных пользователей для дальнейшей эксплуатации. Подобные инциденты подчеркивают продолжающуюся эволюцию киберугроз, усиливающих геополитические конфликты.
-----

5 декабря российский актор сложной целенаправленной угрозы (APT) провел кампанию фишинга, направленную против руководства Приднестровья. Эта кампания включала отправку по электронной почте фишинг-сообщения с учетными данными, которое подделывало Приднестровскую Молдавскую Республику. Электронные письма с фишингом предназначены для того, чтобы выдавать себя за законные источники и обманом заставить получателей раскрыть конфиденциальную информацию, такую как имена пользователей и пароли.

Атака высвечивает продолжающиеся киберугрозы со стороны российских APT-группировок, особенно в таких регионах, как Прибалтика и Балканы. Фишинг остается распространенной тактикой среди этих акторов, использующих вводящие в заблуждение электронные письма, которые часто содержат вредоносные вложения или ссылки, ведущие на мошеннические веб-сайты. Цель состоит в том, чтобы захватить учетные данные пользователей, которые могут способствовать дальнейшим атакам на нацеленные организации.

Этот инцидент является частью более широкой тенденции, в рамках которой российские влиятельные акторы используют геополитическую напряженность, нацеливаясь на институты в соседних регионах. Эти атаки подчеркивают важность повышенной осведомленности о безопасности и бдительности в отношении попыток фишинга, а также необходимость надежной фильтрации электронной почты и обучения пользователей для снижения таких рисков кибербезопасности.

#ParsedReport #CompletenessLow
17-12-2025

Coordinated Credential-Based Campaign Targets Cisco and Palo Alto Networks VPN Gateways

https://www.greynoise.io/blog/credential-based-campaign-cisco-palo-alto-networks-vpn-gateways

Report completeness: Low

Victims:
Network security vendors, Vpn gateways

Industry:
Financial

Geo:
Germany, Pakistan, Mexico

ChatGPT TTPs:
do not use without manual check
T1078, T1110

IOCs:
IP: 11

Soft:
Slack, PAN-OS, Firefox

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания атак на основе учетных данных нацелена на VPN-шлюзы Cisco и Palo Alto Networks, особенно на порталы GlobalProtect, при этом за 16 часов было зафиксировано 1,7 миллиона попыток автоматического входа в систему. При попытке входа в систему использовались обычные имена пользователей и пароли, а отличительный пользовательский агент Firefox предполагал попытку замаскировать автоматизацию. Это указывает на изощренный подход злоумышленников к тому, чтобы избежать обнаружения при попытке несанкционированного доступа к инфраструктурам VPN.
-----

Скоординированная кампания атак на основе учетных данных была нацелена на VPN-шлюзы Cisco и Palo Alto Networks, в частности, на порталы GlobalProtect Palo Alto Networks. GreyNoise сообщила о значительном увеличении числа попыток автоматического входа в систему: за 16 часов было сгенерировано около 1,7 миллиона сеансов, направленных на эмулированные профили GlobalProtect и PAN-OS.

Схема этих попыток входа в систему была довольно единообразной, использовались обычные комбинации имен пользователей и паролей. Многие запросы имели одинаковые характеристики, в первую очередь пользовательский агент Firefox, что нетипично для попыток автоматического входа в систему. Это говорит о том, что злоумышленники, возможно, используют определенный метод, чтобы скрыть автоматизированный характер своих действий, возможно, чтобы избежать обнаружения.

Учитывая характер и масштаб этих атак, специалистам по кибербезопасности следует принять защитные меры для снижения рисков. Рекомендуемые действия включают мониторинг необычного поведения при входе в систему, применение политики надежных паролей и включение Многофакторной аутентификации (MFA) для усиления защиты от попыток несанкционированного доступа. Активно реагируя на эти тактические приемы, организации могут повысить уровень своей безопасности против аналогичных атак на основе учетных данных, нацеленных на инфраструктуры VPN.

#ParsedReport #CompletenessMedium
18-12-2025

HubSpot users targeted by active phishing campaign

https://evalian.co.uk/phishing-campaign-targets-hubspot-users/

Report completeness: Medium

Threats:
Bec_technique
Spear-phishing_technique

Victims:
Hubspot customers

Industry:
Telco

Geo:
Russian, Russia

TTPs:

ChatGPT TTPs:
do not use without manual check
T1071.001, T1190, T1556.003, T1566.002, T1583.001, T1584.004

IOCs:
Url: 2
File: 1
IP: 1

Soft:
HubSpot, Plesk, SendGrid, Salesforce

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания фишинга, нацеленная на клиентов HubSpot, использует методы компрометации деловой электронной почты и веб-сайтов, при этом электронные письма маскируются под законные. Поддельные электронные письма перенаправляют пользователей на страницу входа credential-stealing, напоминающую настоящий портал HubSpot, размещенный на взломанном сайте. Кампания использует доверенных платформ электронной почты, чтобы обойти фильтры безопасности, иллюстрирующие уязвимости традиционных методов проверки подлинности электронной почты и подчеркивает необходимость более точного обнаружения таких новых угроз.
-----

Была выявлена активная кампания фишинга, нацеленная на клиентов HubSpot с помощью комбинации методов компрометации деловой электронной почты (BEC) и веб-сайтов. В кампании используется сложный механизм credential stealing, при котором поддельное электронное письмо призывает получателей войти в свои учетные записи HubSpot под предлогом проверки маркетинговых кампаний из-за предполагаемого увеличения числа отказов от подписки. Примечательно, что URL-адреса, содержащиеся в электронном письме, кажутся законными, в то время как злоумышленник умело маскирует URL-адрес для фишинга в отображаемом имени отправителя, что часто упускается из виду средствами контроля безопасности электронной почты.

При дальнейшем расследовании было обнаружено, что вредоносный URL-адрес ведет на скомпрометированный законный веб-сайт (canvthis.com ), перенаправляя пользователей на страницу credential stealing, размещенную по адресу hxxps://hubspot-campaigns.com/login. Эта страница входа в систему разработана таким образом, чтобы максимально походить на подлинный портал HubSpot, что повышает вероятность того, что ничего не подозревающие пользователи станут жертвами этой схемы. Дополнительный анализ IP-адреса 193.143.1.220 выявил его связь с инфраструктурой фишинга, расположенной в Санкт-Петербурге, Россия, и принадлежащей автономной системе, часто связанной со спамом и действиями по фишингу.

Кампания демонстрирует продвинутый уровень обмана, эффективно обойти традиционные меры защиты электронной почты. Злоумышленники использовали авторитетные электронной почты платформах, таких как журнал, чтобы доставить подлинности письма, в котором удачно обойти спам-фильтры и достиг почтовые ящики пользователей. Этот метод подчеркивает неадекватность использования исключительно механизмов аутентификации по электронной почте, таких как SPF, DKIM и DMARC, поскольку злоумышленники использовали доверие, связанное с установленными доменами, для своих злонамеренных намерений.

Следовательно, операционным центрам безопасности необходимо учитывать эволюционирующие стратегии, применяемые киберпреступниками, которые все чаще используют надежные сторонние почтовые сервисы. Поскольку эта тенденция становится все более выраженной, организации должны усилить свои защитные меры, обеспечив наличие возможностей обнаружения для выявления попыток фишинга, использующих надежные почтовые платформы, и реагирования на них. Потенциальная возможность усиления таргетинга означает, что требуется бдительность, поскольку другие клиенты также могут подвергнуться риску стать жертвами аналогичной тактики фишинга в будущем.

#ParsedReport #CompletenessMedium
16-12-2025

EtherRAT dissected: How a React2Shell implant delivers 5 payloads through blockchain C2

https://www.sysdig.com/blog/etherrat-dissected-how-a-react2shell-implant-delivers-5-payloads-through-blockchain-c2

Report completeness: Medium

Actors/Campaigns:
Darkleech
Contagious_interview

Threats:
Etherrat
React2shell_vuln
Credential_harvesting_technique
Shai-hulud

Victims:
Next.js servers, React server components users, Web servers, Cloud services users, Infrastructure administrators

Industry:
Financial, E-commerce

Geo:
Tajikistan, Uzbekistan, Georgian, Kyrgyzstan, Kazakhstan, Korea, Belarus, Azerbaijan, Dprk, China, Russia, Armenia, Georgia, Belarusian, Russian, North korean, Azerbaijani

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)


TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 38
Coin: 3
Url: 5
IP: 4
Path: 3

Soft:
Node.js, Systemd, Microsoft Defender, Active Directory, Linux, SendGrid, Slack, OpenAI, Docker, HashiCorp Vault, have more...

Wallets:
metamask, exodus_wallet, electrum

Crypto:
ethereum, bitcoin

Algorithms:
sha256, base64, aes-256-cbc

Functions:
getDomainInfo, getHWID, getPublicIP

Win Services:
bits

Languages:
python, powershell, javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
EtherRAT, потенциально связанный с северокорейскими акторами, использует уязвимость React2Shell (CVE-2025-55182) для своих атак без файлов, используя Node.js чтобы избежать взаимодействия с диском. Он включает в себя командную и контрольную связь посредством блокчейн-транзакций, создавая постоянный судебно-медицинский след и позволяя проводить сложную разведку и кражу учетных данных, в том числе нацеливаясь на начальные фразы криптовалютного кошелька. EtherRAT также оснащен самораспространяющимся червячным модулем для перемещения внутри компании, возможностью перехвата веб-сервера для перенаправления трафика и постоянным SSH-бэкдором для восстановления доступа.
-----

Вредоносное ПО EtherRAT, потенциально связанное с северокорейскими злоумышленниками, использует уязвимость React2Shell (CVE-2025-55182) для выполнения многогранных атак. Развернутый с помощью скомпрометированного Next.js применение 5 декабря 2025 года EtherRAT работает как имплантат без опилок, используя Node.js , гарантируя таким образом, что его полезная нагрузка не взаимодействует с диском, что характерно для вредоносного ПО без файлов. Имплантат интегрирует коммуникации командования и контроля (C2) в блокчейн-транзакции, что делает его деятельность законной, предоставляя исследователям неизменяемую запись в Ethereum.

Каждый URL-адрес C2 документируется с точными временными метками и хэшами транзакций, создавая постоянный судебно-медицинский след. Первоначальное развертывание по контракту было выполнено вскоре после публичного раскрытия уязвимости, что указывает на то, что злоумышленники заранее подготовили свою стратегию использования. Работа EtherRAT's включает в себя переключение между несколькими серверами C2, что подчеркивает его адаптивный подход к поддержанию постоянного подключения.

Возможности вредоносного ПО распространяются на обширную разведку и кражу учетных данных. Он собирает различную системную информацию, проверяя наличие членства в домене Active Directory и пользовательских привилегий, а также идентифицируя продукты безопасности, позволяющие избежать обнаружения. Сборщик учетных данных особенно сложен, ориентируясь на начальные фразы криптовалютного кошелька и другие конфиденциальные данные с использованием расширенных методов поиска. Эксфильтрация собранных данных осуществляется по тем же каналам C2, установленным злоумышленниками.

Самораспространяющийся модуль-червь преобразует функциональность EtherRAT, сканируя Интернет в поисках дополнительных уязвимых серверов и пытаясь использовать их с помощью той же уязвимости, которая инициировала внедрение. Поведение этого червя включает в себя перемещение внутри компании в пределах частных IP—адресов — необычная тактика для типичных интернет-червей, позволяющая ему эффективно компрометировать внутренние сети.

Вредоносное ПО также включает механизм захвата веб-сервера, который изменяет конфигурации серверов nginx и Apache для перенаправления трафика на xss.pro , известный форум по борьбе с киберпреступностью. Эта функциональность подчеркивает способность EtherRAT's монетизировать скомпрометированную инфраструктуру путем перехвата веб-трафика, а не просто кражи данных. Кроме того, простой SSH-бэкдор обеспечивает постоянный доступ, позволяя злоумышленнику восстановить плацдарм независимо от инфраструктуры C2.

Таким образом, EtherRAT является примером сочетания технологий блокирования вредоносного ПО, которые способны выполнять разведку, сбор учетных записей, перемещение внутри компании, перехват веб-трафика и закрепление, демонстрируя растущую изощренность хакерских группировок в использовании уязвимостей для получения злонамеренной выгоды.

#ParsedReport #CompletenessMedium
17-12-2025

There's Payloads, And Then There's pAIloads: A Look At Selected Opportunistic (And Possibly AI-"Enhanced") React2Shell Probes and Attacks

https://www.greynoise.io/blog/react2shell-payload-analysis

Report completeness: Medium

Threats:
React2shell_vuln
Mirai
Bashlite

Victims:
Web application servers

Industry:
Iot

Geo:
Spanish, Brazil

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1057, T1059.007, T1105, T1190, T1204.002, T1210

IOCs:
File: 4
Url: 2
IP: 1

Soft:
Node.js, Alpine, Linux, Slack, curl, macOS, Claude, polyfill, Alpine Linux, busybox, have more...

Algorithms:
md5, base64, exhibit

Functions:
getuid

Languages:
javascript

Platforms:
mpsl, cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавний анализ полезных нагрузок React2Shell указывает на сочетание человеческого мастерства и влияния искусственного интеллекта при разработке вредоносного ПО, причем одна полезная нагрузка демонстрирует расширенные функции, типичные для опытных операторов Linux. Однако в нем были обнаружены недостатки, вызванные искусственным интеллектом, такие как неправильные форматы строк JavaScript, которые препятствовали его функциональности. Предполагается, что код был создан исследователем с целью продемонстрировать возможность Удаленного Выполнения Кода без причинения вреда, подчеркивая сохраняющуюся зависимость человеческого опыта в разработке киберугроз от результатов, генерируемых искусственным интеллектом.
-----

Недавний анализ более 50 000 уникальных полезных нагрузок React2Shell выявил заметные закономерности в их создании и выполнении, особенно подчеркнув потенциальное пересечение человеческого мастерства и Искусственного интеллекта при разработке вредоносного ПО. Одна конкретная полезная нагрузка выделялась своей сложностью и изощренностью, свидетельствующей об опытном операторе Linux-вредоносного ПО, а не о более общих результатах, ожидаемых от кода, сгенерированного искусственным интеллектом. Это говорит о том, что полезная нагрузка эволюционировала в результате органичной разработки, включающей различные методы, отточенные на опыте.

Интересно, что полезная нагрузка, по-видимому, представляет собой гибрид человеческой изобретательности и ошибок, вызванных искусственным интеллектом. В частности, в то время как основные элементы демонстрируют глубокое понимание развертывания вредоносного ПО, механизм доставки обладает характеристиками, которые предполагают, что он, возможно, был создан с использованием инструментов искусственного интеллекта, что привело к ошибочным результатам. Такие недостатки включали использование строк JavaScript в одинарных кавычках, которые не могут содержать буквальные переводы строк, что серьезно затрудняло функционирование полезной нагрузки, делая ее неэффективной в попытках использовать целевые объекты.

Расследование также предположило, что этот конкретный код, скорее всего, был создан исследователем безопасности или охотником за ошибками. Цель состояла в том, чтобы продемонстрировать значительное воздействие Удаленного Выполнения Кода (RCE) безопасным способом, используя доступные методы проверки концепции, не нанося вреда системам жертвы. Этот подход включал в себя использование Next.js обработка ошибок, позволяющая получать неразрушающую обратную связь, которая служит "доказательством скриншота" для целей отчетности о вознаграждении, не ставя под угрозу целостность сервера и не оставляя отслеживаемого вредоносного ПО.

Несмотря на спекулятивные рассказы о роли ИИ в киберугрозах, в анализе делается вывод о том, что ИИ еще не получил значительного распространения в разработке оппортунистических атак с первоначальным доступом, особенно в том, что касается создания эффективных полезных нагрузок. Подавляющее большинство наблюдаемых полезных нагрузок было приписано создателям-людям, использующим традиционные методы разработки, интегрирующим установленные шаблонные движки и хорошо документированные методы, что еще раз подчеркивает сохраняющееся доминирование человеческого опыта в разработке киберугроз.

#ParsedReport #CompletenessLow
21-12-2025

Christmas Tycoon

https://intelinsights.substack.com/p/christmas-tycoon

Report completeness: Low

Threats:
Credential_harvesting_technique
Tycoon_2fa

Industry:
Financial, Energy, Healthcare

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1056.003, T1071.001, T1204, T1204.001, T1566.002, T1583.001, T1593.003, T1596.001

IOCs:
Url: 3
Domain: 1882
File: 16
Hash: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В кампании фишинга было задействовано более 1900 доменов, инициированной со взломанной учетной записи с помощью электронных писем, содержащих URL-адрес, который обходит систему безопасности с помощью защищенных ссылок электронной почты Cisco. Набор для фишинга Tycoon перенаправлял пользователей на чат-бота с искусственным интеллектом при неправильном доступе, позволяя использовать уникальные цифровые отпечатки пальцев для отслеживания связанных доменов. Расследование выявило 418 уникальных доменов для фишинга, основанных на различных HTML-заголовках, в то время как повторяющиеся хэши заголовков указывали на более крупную сеть из более чем 850 вредоносных доменов, что указывает на скоординированный и адаптивный фишинг.
-----

Расследование было сосредоточено вокруг кампании фишинга с использованием более 1900 доменов, инициированной со взломанной учетной записи, которая отправила электронное письмо с фишингов -адресом, содержащим URL-адрес, предназначенный для использования защищенных ссылок электронной почты Cisco для обхода мер безопасности. Набор для фишинга, называемый набором для фишинга Tycoon, использует тактику, которая перенаправляет пользователей на чат-бота с искусственным интеллектом при доступе без соответствующего идентификатора перенаправления, позволяя получить отличительный цифровой отпечаток пальца, который помогает в обнаружении дополнительных связанных доменов и инфраструктуры.

Благодаря методическому подходу анализ повлек за собой удаление поддоменов и дубликатов из первоначального списка доменов, в результате чего было идентифицировано 418 уникальных доменов для фишинга. Эти домены характеризовались наличием отличных HTML-заголовков, что облегчало категоризацию кампаний по фишингу. Эта тактика упрощает идентификацию связанных доменов при анализе масштабов кампании.

Дальнейшее исследование включало изучение повторяющихся хэшей заголовков, присутствующих в различных доменах, что обеспечило доступ к еще одному значительному пулу вредоносных доменов, в общей сложности превышающему 850. Неоднократное появление таких хэшей заголовков указывало на систематические усилия в деятельности организации, связывающие многочисленные попытки фишинга в рамках единой стратегии.

Анализ завершился замечаниями, сделанными при повторном просмотре исходного URL-адреса credential-harvesting, который перенаправлял на один из общих шаблонов, связанных с кампанией. Это наблюдение предполагает, что фишеры активируют эти универсальные целевые страницы, когда их основные усилия по фишингу либо неактивны, либо временно приостановлены, что указывает на уровень оперативной безопасности и адаптивности, присущий кампании.