#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В кампании фишинга было задействовано более 1900 доменов, инициированной со взломанной учетной записи с помощью электронных писем, содержащих URL-адрес, который обходит систему безопасности с помощью защищенных ссылок электронной почты Cisco. Набор для фишинга Tycoon перенаправлял пользователей на чат-бота с искусственным интеллектом при неправильном доступе, позволяя использовать уникальные цифровые отпечатки пальцев для отслеживания связанных доменов. Расследование выявило 418 уникальных доменов для фишинга, основанных на различных HTML-заголовках, в то время как повторяющиеся хэши заголовков указывали на более крупную сеть из более чем 850 вредоносных доменов, что указывает на скоординированный и адаптивный фишинг.
-----

Расследование было сосредоточено вокруг кампании фишинга с использованием более 1900 доменов, инициированной со взломанной учетной записи, которая отправила электронное письмо с фишингов -адресом, содержащим URL-адрес, предназначенный для использования защищенных ссылок электронной почты Cisco для обхода мер безопасности. Набор для фишинга, называемый набором для фишинга Tycoon, использует тактику, которая перенаправляет пользователей на чат-бота с искусственным интеллектом при доступе без соответствующего идентификатора перенаправления, позволяя получить отличительный цифровой отпечаток пальца, который помогает в обнаружении дополнительных связанных доменов и инфраструктуры.

Благодаря методическому подходу анализ повлек за собой удаление поддоменов и дубликатов из первоначального списка доменов, в результате чего было идентифицировано 418 уникальных доменов для фишинга. Эти домены характеризовались наличием отличных HTML-заголовков, что облегчало категоризацию кампаний по фишингу. Эта тактика упрощает идентификацию связанных доменов при анализе масштабов кампании.

Дальнейшее исследование включало изучение повторяющихся хэшей заголовков, присутствующих в различных доменах, что обеспечило доступ к еще одному значительному пулу вредоносных доменов, в общей сложности превышающему 850. Неоднократное появление таких хэшей заголовков указывало на систематические усилия в деятельности организации, связывающие многочисленные попытки фишинга в рамках единой стратегии.

Анализ завершился замечаниями, сделанными при повторном просмотре исходного URL-адреса credential-harvesting, который перенаправлял на один из общих шаблонов, связанных с кампанией. Это наблюдение предполагает, что фишеры активируют эти универсальные целевые страницы, когда их основные усилия по фишингу либо неактивны, либо временно приостановлены, что указывает на уровень оперативной безопасности и адаптивности, присущий кампании.

#ParsedReport #CompletenessLow
18-12-2025

Scripted Sparrow: A Prolific BEC Threat Group

https://www.fortra.com/resources/guides/scripted-sparrow-prolific-bec-threat-group

Report completeness: Low

Actors/Campaigns:
Scripted_sparrow

Threats:
Bec_technique

Victims:
Financial services, Organizations using email, Accounts payable departments

Industry:
Financial

Geo:
San francisco, Canada, South africa, America, American, Nigeria

ChatGPT TTPs:
do not use without manual check
T1199, T1583.001, T1585.002, T1586.002, T1656

IOCs:
Domain: 133
Email: 494

Soft:
Telegram

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
По сценарию Sparrow является вновь выявленных бизнес-email компромисс (BEC) группа, известная за счет использования средств автоматизации распространение фишинг-сообщения, при этом значительное повышение активности отмечается с июня 2024. Они используют такие приемы, как, используя скомпрометированные легитимные учетные записи и различные домены электронной почты, в то время как их операции координируются через Telegram, демонстрируя децентрализованной сети участников совместного использования технологий и инфраструктуры. Развиваются методы этой группы имеют более персонализированные фишинг коммуникаций, предназначенных для повышения их эффективности обман, представляющей повышенную опасность для потенциальных мишеней.
-----

Scripted Sparrow - это развивающаяся группа по компрометации деловой электронной почты (BEC), признанная за обширные операции на нескольких континентах, что предполагает сильную зависимость от автоматизации при создании и распространении фишингов -сообщений. Созданная в июне 2024 года, группа продемонстрировала заметный рост своей деятельности, достигнув пика с 496 зарегистрированными контрактами к сентябрю 2025 года. Первоначальные наблюдения показывают, что Scripted Sparrow использует различные тактики, включая использование как бесплатной веб-почты, так и пользовательских доменных Адресов эл. почты для своих атак. Имеются также признаки взлома учетных записей законных организаций, что расширяет их возможности по проведению нацеленного фишинга.

Активные меры защиты от скриптового Sparrow и глубокое расследование команды позволили получить представление об их инфраструктуре. Направляя злоумышленников по определенным URL-адресам, аналитики могли бы собирать IP-адреса и данные пользовательских агентов, эффективно создавая основу для отслеживания акторов в различных ситуациях. Это участие было дополнено методами социальной инженерии, которые позволили акторам раскрыть точные данные о геолокации, несмотря на потенциальное запутывание с помощью VPN. Тем не менее, потенциал географической подмены остается значительным, учитывая доступность различных браузерных плагинов и инструментов для конечных пользователей.

Кроме того, общение внутри группы было связано с платформой Telegram, что было выявлено путем анализа строк их пользовательских агентов. Этот метод подчеркивает их стремление поддерживать оперативную безопасность при одновременном облегчении внутренних коммуникаций. Сетевая структура Scripted Sparrow выглядит децентрализованной и включает в себя различных мошенников, которые действуют по общей схеме, иллюстрируемой общими отпечатками пальцев браузера и финансовыми взаимодействиями.

Группа развивает свою тактику с течением времени; первоначальные сообщения характеризуется общих приветствий перешли к более персонализированным форматы, с подробным взаимодействий перед участием финансовых контактов, тем самым повышая вероятность успешного обмана. Эти изысканные точка подходов к разработке по своей изощренности BEC кампаний и угрожать организаций, которые могут стать жертвой таких нацелен попытки мошенничества. В целом, сведения, собранные в ходе анализа сценариев Sparrow моменты организованной, гибкой злоумышленник эксплуатирует как технологические, так и социальные элементы в своей деятельности.

#ParsedReport #CompletenessMedium
16-12-2025

Inside GhostPoster: How a PNG Icon Infected 50,000 Firefox Users

https://www.koi.ai/blog/inside-ghostposter-how-a-png-icon-infected-50-000-firefox-browser-users

Report completeness: Medium

Threats:
Ghostposter
Steganography_technique

Victims:
Firefox users, Ecommerce affiliate programs

Industry:
E-commerce, Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.003, T1036, T1059, T1059.007, T1071.001, T1102, T1102.003, T1104, T1105, have more...

IOCs:
File: 1
Domain: 3
Url: 2

Soft:
Firefox, ChatGPT, Claude

Algorithms:
xor, base64

Functions:
eval

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GhostPoster вредоносное ПО целевые пользователи Firefox через вредоносные расширения браузера, бесплатный VPN Навсегда, которая служит загрузчик для загрузки фактический вредоносное ПО грузоподъемностью от управление сервером. После запуска он перехватывает партнерские ссылки на основных платформах электронной коммерции, перехватывая комиссионные, одновременно вводя код отслеживания для сбора пользовательских данных и используя методы обхода защиты от CAPTCHA. Кампания иллюстрирует тенденцию вредоносных бесплатных VPN расширений эксплуатируя уязвимости, затрагивающие около 50 000 пользователей.
-----

Вредоносная Кампания GhostPoster нацелена на пользователей Firefox с помощью серии обманчивых тактик, которые используют кажущиеся безобидными расширения браузера, в частности одно под названием Free VPN Forever. Начальный этап включает в себя загрузку расширением файла своего логотипа, который вместо этого содержит вредоносный загрузчик. Этот загрузчик предназначен для извлечения фактической полезной нагрузки вредоносного ПО с сервера управления (C&C). Сама полезная нагрузка скрыта, используя пользовательскую схему кодирования, чтобы избежать обнаружения во время передачи.

После расшифровки и выполнения полезная нагрузка превращает браузер в инструмент для монетизации активности пользователей без их согласия. Вредоносное ПО специально перехватывает партнерские ссылки на крупных платформах электронной коммерции, таких как Taobao и JD.com . Когда пользователи переходят по этим ссылкам, вредоносное ПО перехватывает трафик, эффективно отбирая любые комиссионные, предназначенные для законных партнеров, и перенаправляя их злоумышленникам.

Более того, GhostPoster вводит код отслеживания Google Analytics на каждую посещенную веб-страницу, собирая подробную информацию о привычках пользователя в интернете и продолжительности заражения. Он удаляет заголовки безопасности из HTTP-ответов, еще больше нарушая целостность сайта, и использует множество методов для обхода защиты с помощью CAPTCHA. Это включает в себя имитацию пользовательских взаимодействий и использование внешних ресурсов для распознавания капчи.

Вредоносное ПО также внедряет скрытые iframe-файлы из доменов, контролируемых злоумышленниками, что позволяет широко использовать мошенничество с рекламой и кликами, сохраняя видимость нормальной работы браузеров пользователей. Примечательно, что платформа, лежащая в основе GhostPoster, не уникальна; были выявлены аналогичные кампании вредоносных расширений, связанные с этой инфраструктурой атаки, которая включает в себя по меньшей мере 16 других расширений, использующих те же серверы C&C.

Этот инцидент подчеркивает повторяющуюся тенденцию, когда бесплатные расширения VPN становятся вредоносными, предлагая план будущих угроз. Используемые методы уклонения, такие как Стеганография для сокрытия полезной нагрузки и сложные механизмы отслеживания, отражают растущую оперативную изощренность злоумышленников. Уязвимости, присущие расширениям браузера, были использованы для содействия значительному нарушению, воздействие на которое оказало около 50 000 пользователей, скачавших скомпрометированное программное обеспечение, которое остается доступным на рынке дополнений Firefox.

#ParsedReport #CompletenessMedium
18-12-2025

ResidentBat: A new spyware family used by Belarusian KGB

https://rsf.org/sites/default/files/medias/file/2025/12/report1.pdf

Report completeness: Medium

Threats:
Residentbat
Novispy
Massistant_tool
Monokle
Screen_shotting_technique

Victims:
Journalists, Lawyers, Civil society

Geo:
Belarusian, Belarussian, Switzerland, Belarus

ChatGPT TTPs:
do not use without manual check
T1036.005, T1071.001, T1078, T1105, T1123, T1204.002

IOCs:
File: 14
Hash: 10
Url: 6
IP: 25
Domain: 2

Soft:
Android, android.chrome, instagram.android, viber, whatsapp, firefox, telegram, zoom, Google Play, Chrome, have more...

Algorithms:
sha256

Functions:
removeActiveAdmin

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ResidentBat - это семейство шпионских программ, используемых белорусским КГБ, специально предназначенных для устройств Android с помощью физического доступа, а не удаленных эксплойтов. Он собирает конфиденциальные данные, включая звонки и сообщения, запрашивая обширный список разрешений. В отличие от традиционных программ-шпионов, ResidentBat не выходит из "песочницы" Android, функционируя аналогично stalkerware, и создает значительные риски для конфиденциальности из-за своих методов установки и конфигураций C2, которые облегчают удаленное общение.
-----

ResidentBat - это недавно выявленное семейство шпионских программ, используемых белорусским КГБ и нацеленных в первую очередь на устройства Android. Это шпионское ПО тайно собирает различные формы данных, включая телефонные звонки, SMS-сообщения и зашифрованные разговоры в чате, что достигается с помощью физического доступа к устройству, а не удаленных эксплойтов. Шпионское ПО устанавливается в виде стандартного APK-файла и отличается тем, что запрашивает у пользователей 38 разрешений, некоторые из которых являются конфиденциальными и обеспечивают широкий доступ к данным, включая разрешения во время выполнения.

Технический анализ показывает, что ResidentBat работает без использования уязвимостей для выхода из "песочницы" приложений Android, позиционируя его аналогично stalkerware, что вызывает серьезные опасения по поводу конфиденциальности, несмотря на более низкие затраты на разработку по сравнению с традиционными программами-шпионами, которые напрямую используют системные недостатки. Его структура включает в себя различные компоненты, объявленные в файле AndroidManifest, такие как действия и службы, которые могут отслеживать конфиденциальные пользовательские данные.

Во время задокументированного инцидента в третьем квартале 2025 года сотрудники КГБ допросили журналиста, который, как сообщается, попросил их положить свой телефон в запертый отсек. Последующее извлечение телефона вызвало опасения по поводу присутствия шпионского ПО, особенно учитывая, что сертификат приложения был действителен только в будущем, что было необычной характеристикой, которая не препятствовала установке. Судебно-медицинский анализ также выявил следы, оставленные на устройстве, такие как новые ключи ADB, что указывает на вероятную подделку.

Жителям и правозащитникам рекомендуется принимать упреждающие меры безопасности для предотвращения несанкционированного доступа и установки шпионских программ, например, сохранять PIN-коды своих устройств и использовать устройства, отключающие боковую загрузку приложений. Кроме того, были выпущены индикаторы компрометации, помогающие пользователям выявлять потенциальные заражения с помощью Mobile Verification Toolkit (MVT), который предназначен для обнаружения экземпляров шпионского ПО и помогает людям оценить степень риска.

Механизмы командования и контроля (C2) ResidentBat включают в себя конкретные конфигурации серверов, предназначенные для удаленной связи, хотя дополнительные технические подробности, касающиеся C2, не разглашаются для защиты конфиденциальных эксплуатационных аспектов. Обнаружение множества образцов резидентных летучих мышей подчеркивает необходимость постоянного мониторинга и бдительности в отношении таких возникающих угроз в цифровом ландшафте.

#ParsedReport #CompletenessMedium
16-12-2025

React2Shell used as initial access vector for Weaxor ransomware deployment

https://www.s-rminform.com/latest-thinking/react2shell-used-as-initial-access-vector-for-weaxor-ransomware-deployment

Report completeness: Medium

Threats:
React2shell_vuln
Weaxor
Targetcompany
Cobalt_strike_tool
Shadow_copies_delete_technique

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)


ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059, T1059.001, T1059.003, T1070.001, T1071.001, T1082, T1105, T1190, have more...

IOCs:
File: 9
Url: 1
IP: 7

Soft:
Microsoft SQL, Windows Defender, Node.js

Algorithms:
sha1

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Инцидент с программой-вымогателем Weaxor подчеркивает использование уязвимости React2Shell (CVE-2025-55182) в серверных компонентах React и Next.js , позволяющий злоумышленникам выполнять произвольный код с помощью вредоносных HTTP-запросов. Злоумышленники быстро перешли от шпионажа к внедрению программ-вымогателей, используя запутанную команду PowerShell и Cobalt Strike для управления. Индикаторы компрометации, связанные с атакой, такие как хэши SHA-1 и IP-адреса C2, подчеркивают необходимость проявлять бдительность в отношении быстрого использования после раскрытия уязвимостей.
-----

Инцидент, связанный с развертыванием программы-вымогателя Weaxor, свидетельствует об использовании уязвимости React2Shell (CVE-2025-55182). Эта критическая уязвимость затрагивает серверные компоненты React и программное обеспечение с открытым исходным кодом Next.js рамки. Это позволяет злоумышленнику отправлять вредоносные HTTP-запросы, которые могут выполнять произвольный код на сервере, тем самым получая привилегированный доступ к системе, в которой запущен веб-сервер.

После публичного раскрытия уязвимости React2Shell 3 декабря 2025 года злоумышленники, включая акторов национальных государств, в течение нескольких часов начали поиск возможностей для использования. В то время как некоторые были сосредоточены на шпионаже путем установки постоянных бэкдоров, финансово мотивированные акторы быстро переключили свое внимание на внедрение Ransomware. Штамм программы-вымогателя Weaxor, ребрендинг ранее известной программы-вымогателя Mallox, был идентифицирован как полезная нагрузка, использованная в этом инциденте.

Цепочка атак началась с компрометации корпоративной сети 5 декабря 2025 года. Запутанная команда PowerShell была выполнена злоумышленником, установившим командование и контроль с помощью загрузки программы Cobalt Strike PowerShell stager. После этого злоумышленник отключил защиту антивируса Windows Defender в режиме реального времени, чтобы облегчить дальнейшие действия, указывая на подготовку к дополнительным полезным нагрузкам.

Были выявлены признаки компрометации, связанные с использованием React2Shell, включая появление cmd.exe и powershell.exe процессы, исходящие от законного Node.js исполняемый файл, node.exe . Этот анализ указывает на высокую вероятность того, что предыдущие действия по обнаружению были замаскированы из-за очистки журналов событий, совпадающей с развертыванием программы-вымогателя.

Кроме того, были задокументированы конкретные показатели, включая определенные хэши SHA-1 и связанные с ними IP-адреса командования и контроля (C2), использованные во время атаки Weaxor. Наличие этих показателей служит для правозащитников важнейшим доказательством для мониторинга и потенциального смягчения подобных попыток эксплуатации в будущем. Быстрый переход от раскрытия уязвимостей к внедрению программ-вымогателей подчеркивает настоятельную необходимость для организаций усилить свою защиту от вновь выявленных уязвимостей и автоматизировать меры обнаружения и реагирования.

#ParsedReport #CompletenessLow
16-12-2025

Meet Cellik - A New Android RAT With Play Store Integration

https://iverify.io/blog/meet-cellik---a-new-android-rat-with-play-store-integration

Report completeness: Low

Threats:
Cellik
Hyperrat
Phantomos
Nebula

Victims:
Mobile users

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1036, T1204, T1513, T1516, T1566

Soft:
Android, Google Play, Gmail

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Cellik - это недавно идентифицированный троян для удаленного доступа к Android (RAT), который позволяет злоумышленникам осуществлять полный контроль над зараженными устройствами, включая такие функции, как потоковая передача экрана в режиме реального времени и манипулирование пользовательским интерфейсом. Его скрытые возможности браузера создает дополнительные риски за счет облегчения фишинг и других веб нарушений. Интеграция с Google магазин игры позволяет злоумышленникам создавать обманчивое APK-файлы, которые выглядят законными, представляющих тревожная тенденция, когда вредоносное ПО-а-а-сервис, который демократизирует доступ к самым современным мобильным шпионов для низкоквалифицированных актеров.
-----

Cellik является вновь открывшимся для Android троян удаленного доступа (RAT), что создает значительные проблемы безопасности вследствие своей полной функции управления устройствами и интеграцию с Google играть магазин. После установки, Cellik обеспечивает оператору полный контроль над зараженным устройством, в том числе и потоковая передача в реальном времени экрана и возможность удаленно управлять пользовательским интерфейсом. Это эффективно позволяет злоумышленнику получить контроль над деятельностью жертвы в реальном времени при имитации пользовательского ввода, как если бы они были физически взаимодействуя с телефона.

Важной особенностью Cellik является его скрытая функция браузера, которая облегчает активное использование веб-ресурсов и попытки фишинга непосредственно с зараженного устройства. Он запускает невидимый браузер, который может быть использован для различных вредоносных действий, повышая риск для жертв.

Более того, особую тревогу вызывает интеграция Cellik с Google Play Store. Он включает в себя автоматизированный конструктор APK, который позволяет злоумышленникам выбирать законные приложения из Play Store и упаковывать их с полезной нагрузкой Cellik. Эта функция позволяет создавать вредоносные APK-файлы, которые выглядят как подлинные приложения, что затрудняет жертвам идентификацию скрытого внутри вредоносного ПО. Простота создания этих вредоносных приложений значительно расширяет возможности распространения RAT.

Cellik представляет собой относительно тренда в вредоносное вредоносное ПО Андроид, который характеризуется ростом вредоносное ПО-как-услуга (Маас) платформ. Такие сервисы позволить даже низкоквалифицированный злоумышленникам проводить мобильного шпионских операций с минимальными техническими знаниями. Этот сдвиг показывает, что сложные киберугрозы становятся все более доступными для широкого круга злоумышленниками, тем самым эскалации общий ландшафт угроз мобильной безопасности.

#ParsedReport #CompletenessHigh
19-12-2025

APT36 LNK-BASED MALWARE CAMPAIGN LEVERAGING MSI PAYLOAD DELIVERY

https://www.cyfirma.com/research/apt36-lnk-based-malware-campaign-leveraging-msi-payload-delivery/

Report completeness: High

Actors/Campaigns:
Transparenttribe (motivation: cyber_espionage)

Threats:
Dll_hijacking_technique
Spear-phishing_technique

Victims:
Government organizations

Industry:
Government

TTPs:
Tactics: 10
Technics: 16

IOCs:
File: 5
Command: 1
Path: 3
Domain: 2
Url: 1
Hash: 5

Soft:
WhatsApp

Algorithms:
sha256, base64

Functions:
PDfiums, DllOrigias, dropHijackDll, ExeDrips, Pensisting

Languages:
powershell

Platforms:
x86

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-36 проводит нацеленную Вредоносную Кампанию, используя тактику социальной инженерии для компрометации систем Windows, в первую очередь с помощью вредоносного файла быстрого доступа, Маскировки под правительственный консультативный PDF-файл. Вектор заражения предоставляет загрузчик на базе .NET, который развертывает вредоносные библиотеки DLL и поддерживает закрепление с помощью изменений реестра. Вредоносное ПО также использует DLL hijacking и выполняет различные команды, подчеркивая возможности APT-36, связанные с сложными целенаправленными угрозами, при этом для обнаружения предусмотрены специальные IOCS.
-----

Недавний анализ выявил нацеленную Вредоносную Кампанию, связанную с злоумышленником APT-36, который использует тактику социальной инженерии для проникновения в системы Windows. Операция предполагает использование вредоносного файла быстрого доступа Windows, замаскированного под правительственный консультативный PDF-файл, который служит первоначальным источником заражения. Этот метод использует поведение Windows по умолчанию, заключающееся в сокрытии расширений файлов, что способствует успешному уклонению от подозрений пользователя.

Как только вредоносный ярлык открывается, он запускает доставку скрытой полезной нагрузки MSI, что приводит к запуску загрузчика на основе .NET. Этот загрузчик предназначен для развертывания вредоносных библиотек DLL в системе жертвы, тем самым обеспечивая закрепление путем внесения изменений в реестр. Подход злоумышленника отражает глубокое понимание нацеленного шпионажа, который, вероятно, нацелен на правительственные организации.

Анализ также показывает, что вредоносное ПО может использовать методы DLL hijacking и выполнять различные команды, что указывает на ряд возможностей, схожих с теми, которые ожидаются от сложных целенаправленных угроз. Кроме того, в кампании используется внешняя инфраструктура, что означает, что атака организуется из внешнего источника, не полагаясь на исходные системные уязвимости для проникновения.

Отчет включает в себя правила YARA, подробно описывающие конкретные подписи, связанные с этой кампанией, и предоставляющие средства для обнаружения на основе выявленных индикаторов компрометации (IOCs). Эти IOCS включают конкретные имена файлов, такие как "NCERT-Whatsapp-Advisory.pdf.lnk", и домены, такие как "wmiprovider.com", которые имеют решающее значение для усиления мер защиты от этой конкретной угрозы.

Таким образом, кампания APT-36 демонстрирует сочетание социальной инженерии и технологической изощренности, используя поддельные документы и скрытное развертывание полезной нагрузки для эффективного компрометирования нацеленных сред. Операция подчеркивает сохраняющуюся угрозу, исходящую от APT-группировок, которые умело используют основанные на доверии приманки и возможности вредоносного ПО для достижения своих целей.

#ParsedReport #CompletenessLow
15-12-2025

GhostPairing Attacks: from phone number to full access in WhatsApp

https://www.gendigital.com/blog/insights/research/ghostpairing-whatsapp-attack

Report completeness: Low

Threats:
Ghostpairing_technique

Victims:
Whatsapp users

Geo:
Czechia

ChatGPT TTPs:
do not use without manual check
T1204, T1566, T1566.002

IOCs:
Domain: 7

Soft:
WhatsApp