#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Moonrise - это недавно идентифицированный RAT, ориентированный на Windows, использующий архитектуру WebSocket для постоянной связи со своим сервером C2 по жестко закодированному IP-адресу. Он оснащен командным протоколом на основе JSON для структурированной обработки команд, позволяющим вести наблюдение в реальном времени с помощью Регистрация нажатий клавиш и мониторинга буфера обмена, а также демонстрирует возможности Манипуляции с данными, связанными с криптовалютой. Кроме того, он распознает зараженный хост для определения приоритетности таргетинга и может загружать файлы для дальнейшего развертывания полезной нагрузки, демонстрируя универсальность и постоянное оперативное взаимодействие своих операторов.
-----

Анализ Moonrise, недавно обнаруженной Троянская программа для удаленного доступа (RAT), нацеленной на системы Windows, раскрывает ее техническую архитектуру и возможности, уделяя особое внимание механизмам постоянного управление (C2), функциям наблюдения в режиме реального времени и потенциальной возможности кражи криптовалюты.

Moonrise структурирован с использованием архитектуры WebSocket для поддержания непрерывного канала связи со своим сервером C2, используя библиотеку WebSocket Gorilla. Он подключается к жестко запрограммированной конечной точке (ws://193.23.199.88:8765) и сохраняет состояние сеанса, предпочитая долговременные соединения временным запросам. Такое поведение обеспечивает эффективную обработку команд, позволяя операторам поддерживать контроль и осуществлять всестороннее наблюдение за системой, а не выполнять простое одноразовое выполнение.

Заслуживает внимания командный протокол трояна, основанный на JSON, с функциональностью для обработки структурированных команд и агрегирования ответов. Этот структурированный подход распространяется на его возможности наблюдения, которые включают в себя Регистрация нажатий клавиш и мониторинг буфера обмена, и направлен на сбор данных в режиме реального времени на зараженных компьютерах. Похоже, что вредоносное ПО обрабатывает команды, связанные с криптовалютой, как следует из определенных полей JSON, которые предполагают возможность захвата адресов кошельков и манипулирования ими — потенциально тревожная функциональность для пользователей криптовалюты.

В рамках своей операционной настройки Moonrise выполняет процесс снятия отпечатков пальцев с зараженного хоста, собирая системные метаданные, такие как версия операционной системы, имя хоста и идентификаторы пользователей, которые могут помочь злоумышленникам определить приоритеты целей на основе системной информации. Это указывает на более широкий дизайн вредоносное ПО, который делает упор на постоянное взаимодействие оператора и непрерывное извлечение данных, а не на статические атаки.

Динамический анализ, выполненный с помощью ANYRUN, выявил возможность загрузки файлов в зараженную систему, что повысило универсальность Moonrise's, поскольку он может развертывать дополнительные скрипты или полезные нагрузки после заражения. Одна из таких полезных нагрузок включала методы обхода сети, предполагающие потенциал для дальнейшего развития или развертывания модульных возможностей.

#ParsedReport #CompletenessHigh
27-02-2026

Github VSCode Contagious Interview

https://www.enki.co.kr/media-center/blog/contagious-interview-campaign-abusing-vscode-distributed-on-github

Report completeness: High

Actors/Campaigns:
Contagious_interview

Threats:
Beavertail
Invisibleferret
Ottercookie
Anydesk_tool
Supply_chain_technique
Dead_drop_technique
Tsunami_framework
Etherrat

Victims:
Developers, Open source ecosystem

Industry:
Telco, Financial

Geo:
North korean, Bulgaria, India, America

TTPs:
Tactics: 9
Technics: 31

IOCs:
Email: 1
Url: 111
File: 13
IP: 14
Coin: 5
Path: 2
Hash: 12
Domain: 1

Soft:
VSCode, Visual Studio Code, linux, macOS, onenote, Chrome, Opera, Opera GX, Chromium, Vivaldi, have more...

Wallets:
metamask, rabby, coinbase, exodus_wallet, trezor, electrum, brave_wallet, coin98, math_wallet, solflare, have more...

Crypto:
solana, bitcoin, ethereum, binance

Algorithms:
xor, zip, base64, sha256, hmac

Languages:
javascript, python

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кАмпания, атрибутирован с северокорейскими злоумышленник, нацелена на разработчиков через GitHub, используя автоматизацию Visual Studio Code для распространения вредоносных программ, в том числе Beavertail, InvisibleFerret и OtterCookie. Злоумышленники создают поддельные учетные записи для укрепления доверия и распространяют вредоносное ПО, которое выполняет команды через файл `.vscode/task.json`. Вредоносное ПО использует несколько серверов управление, извлекает дополнительные скрипты, собирает конфиденциальные данные и использует передовые методы обфускации, подчеркивая изощренное использование средств разработки с открытым исходным кодом.
-----

Анализ сосредоточен на заметной вредоносная кАмпания, использующей GitHub для доставки вредоносных полезных нагрузок, которые используют возможности автоматизации Visual Studio Code (VSCode). К ключевым выявленным типам вредоносное ПО относятся Beavertail, InvisibleFerret и OtterCookie, которые являются частью продолжающейся кампании Contagious Interview, атрибутирован с северокорейскими злоумышленник, в первую очередь нацеленной на разработчиков.

Злоумышленники использовали тактику обмана, создавая поддельные аккаунты в качестве рекрутеров или разработчиков, связанных с узнаваемыми компаниями. Эти учетные записи использовались для укрепления доверия и облегчения распространения вредоносное ПО, в частности, через репозитории, предназначенные для имитации тестов на кодирование или собеседований. Вредоносные действия начинаются с ввода команд в файл `.vscode/task.json`, который автоматически выполняется при открытии хранилища в VSCode, эффективно загружая и запуская вредоносное ПО. Такое использование функций автоматизации VSCode демонстрирует сложный подход к первоначальный доступ.

Внедрение вредоносное ПО включает в себя взаимодействие с несколькими серверами управление (C&C). Вредоносное ПО Beavertail использует два сервера C&C для загрузки дополнительных компонентов и сбора информации. Его операционная процедура начинается со сценария загрузки, который стратегически извлекает дополнительные сценарии через определенные промежутки времени, при этом поведение связи закодировано для резервного копирования на альтернативные серверы, если это необходимо. Эта инфраструктура позволяет вредоносное ПО собирать конфиденциальную информацию, включая учетные данные браузера и данные криптовалютного кошелька, и отправлять ее обратно злоумышленникам.

InvisibleFerret работает аналогично, но выполняется с помощью скриптов на Python, которые используют передовые методы запутывания, чтобы избежать обнаружения. Сценарии подключаются обратно к определенному серверу C&C для получения команд, обеспечивая непрерывный операционный контроль. Конструкция позволяет выполнять различные действия, такие как удаленное выполнение команд, управление файлами и поддержание закрепление в системе.

Более того, OtterCookie еще больше расширяет функциональность вредоносное ПО, осуществляя управление процессами и подключение к серверу C&C, позволяя командам изменять поведение вредоносное ПО на основе полученных инструкций.

Всеобъемлющий ландшафт угроз, поднятый этой кампанией, подчеркивает необходимость проявлять бдительность в отношении хранилищ программного обеспечения с открытым исходным кодом и интегрированных сред разработки. Конкретные рекомендации включают обеспечение того, чтобы в VSCode была включена функция доверия рабочей области для снижения рисков автоматического выполнения кода, тщательный аудит настроек проекта и повышенный контроль каталога ".vscode" для предотвращения несанкционированного выполнения скрипта.

В конечном счете, эта кампания является примером того, как актор-злоумышленник может использовать генеративный ИИ для написания и маскировки вредоносное ПО, демонстрируя безупречное сочетание социально спроектированной тактики и технических инноваций для повышения эффективности распространения вредоносное ПО в сообществах разработчиков.

#ParsedReport #CompletenessMedium
02-03-2026

Cyber Reflections of the U.S. & Israel-Iran War

https://socradar.io/blog/cyber-reflections-us-israel-iran-war/

Report completeness: Medium

Actors/Campaigns:
Irgc
Apt33
Oilrig (motivation: hacktivism)
Charming_kitten
Remix_kitten
Apt42 (motivation: hacktivism)
Muddywater (motivation: hacktivism)
Tortoiseshell
Cyber_av3ngers
Cyber_avengers
Fox_kitten
Mr_hamza (motivation: hacktivism)
Rippersec
Cyb3rdrag0nzz
Nation_of_saviors
Keymous
Sylhetgang
Dienet (motivation: hacktivism)
Cyb3r_drag0nz
Team_fearles
Anonghost
Cyberav3nger
Cyber_toufan
Handala
Redkitten

Threats:
Spear-phishing_technique
Credential_harvesting_technique
Dns_hijacking_technique
Remexi
Supply_chain_technique
Watering_hole_technique
Inc_ransomware

Victims:
Government, Telecommunications, Finance, Defense contractors, Aerospace, Energy, Industrial firms, Water utilities, Critical infrastructure, Airports, have more...

Industry:
Energy, Ics, Healthcare, Transport, Financial, Aerospace, Petroleum, Maritime, Ngo, Telco, Military, Critical_infrastructure, Education, Logistic, Government

Geo:
Kuwait, Israeli, Tehran, Middle east, Bahrain, Oman, Iranian, Saudi, Jordan, Riyadh, Cyprus, Israel, Iran, Saudi arabia, Abu dhabi, Egypt, Iraq, Qatar

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 4

Soft:
Telegram, Twitter, WhatsApp

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 4, chats: 1, table: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция "Эпическая ярость", начатая США и Израилем против Ирана в феврале 2026 года, включала масштабные кибератаки, которые серьезно нарушили подключение Ирана к Интернету и компрометация военной связи, в частности, снизив уровень подключения до 4% от нормального уровня. Эта операция включала в себя DDoS-атаки и средства радиоэлектронной борьбы, направленные на ослепление иранских командных структур, в то время как иранские APT-группировка использовали различные методы, такие как spear phishing и wiper-атаки, подчеркивая их сосредоточенность на критически важных секторах. Одновременно хактивистские группы, связанные с иранскими интересами, организовали кампании, включающие DDoS-атаки и утечки данных, что отражает сложный киберпространственный ландшафт на фоне эскалации напряженности.
-----

Операция "Эпическая ярость", начатая 28 февраля 2026 года, была сосредоточена на военных и кибероперациях против Ирана. Масштабные кибератаки были направлены на то, чтобы подорвать возможности командования и контроля Ирана. Иран нанес ответный удар, нанеся нацелен на 27 военных баз США и объектов в Персидском заливе с помощью беспилотных летательных аппаратов и ракет. После атак подключение к Интернету в Иране снизилось до 4% от нормального уровня, что повлияло на критически важную инфраструктуру и новостные агентства. Иранские информационные агентства были взломаны с целью демонстрации антиправительственных настроений. Израильские источники описали кибероперации как крупнейшие в истории, связанные с радиоэлектронной борьбой и DDoS-атаками. Кибератака включала взлом правительственных спутниковых трансляций с целью распространения антирежимных сообщений. Иранские APT-группировка, в частности APT33, APT34, APT35, APT39, APT42 и MuddyWater, занимаются шпионажем и подрывной деятельностью, нацелен на критически важную инфраструктуру и телекоммуникации. Их методы включают в себя скрытый фишинг, атаки с использованием wiper, сбор учетных записей и использование уязвимостей инфраструктуры. Активность хактивистов резко возросла наряду с действиями государства, включая скоординированные DDoS-атаки и утечки данных. Иранские организации заявили о доступе к системам контроля в критически важных объектах инфраструктуры, что указывает на сдвиг в сторону угроз промышленного контроля. Также была выявлена деятельность программ-вымогателей против израильских организаций, связанная с эксфильтрация данных и политическими мотивами. Организациям в регионах, на которые нацелен проект, рекомендуется повысить безопасность путем внедрения Многофакторная аутентификация, исправления уязвимостей и тщательного мониторинга.

#ParsedReport #CompletenessHigh
25-02-2026

OCRFix: Botnet Trojan delivered through ClickFix and EtherHiding

https://www.cyjax.com/resources/blog/ocrfix-botnet-trojan-delivered-through-clickfix-and-etherhiding

Report completeness: High

Actors/Campaigns:
Unc5342

Threats:
Ocrfix_technique
Clickfix_technique
Etherhiding_technique
Typosquatting_technique
Seo_poisoning_technique
Dll_sideloading_technique

Victims:
Individual users, Software users

Industry:
Financial

Geo:
Russian, North korean

TTPs:
Tactics: 7
Technics: 25

IOCs:
File: 11
Domain: 9
Coin: 3
Url: 3
Path: 1
Hash: 5

Soft:
ChatGPT, Windows PowerShell, Instagram, BitLocker, Windows Defender

Crypto:
ethereum

Algorithms:
sha1, zip, xor

Win Services:
WebClient

Languages:
visual_basic, php, powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была выявлена вредоносная кАмпания под названием OCRFix, включавшая typosquatting, которая имитировала инструмент распознавания Tesseract, чтобы заманить жертв к загрузке многоэтапной полезной нагрузки. В атаке использовались передовые методы, такие как EtherHiding, для сокрытия доменов управление в смарт-контрактах на Ethereum, что позволяло динамически изменять адреса, чтобы избежать обнаружения. Первая полезная нагрузка, Update1.exe , действовал как загрузчик, который извлекал дополнительные исполняемые файлы для закрепление и манипулирования системой, что в конечном итоге привело к развертыванию прослушивателя ботов, CfgHelper.exe , чтобы поддерживать контроль над зараженными устройствами.
-----

CYJAX выявил сложную вредоносная кАмпания, получившую название OCRFix, которая возникла в результате typosquatting- фишинг-атаки, выдававшей себя за инструмент распознавания текста Tesseract. Первоначально считавшаяся атакой с ClickFix, она включала в себя продвинутую тактику, такую как EtherHiding, использующую сложные методы запутывания и обход защиты. В схеме фишинг использовался поддельный домен, очень похожий на домен законного инструмента, с целью ввести пользователей в заблуждение и заставить их загружать вредоносное ПО.

Жертвы столкнулись с фишинг-страницей, которая использовала CAPTCHA для маскировки вредоносного контента. Затем команда PowerShell была скопирована в буфер обмена пользователей без их предупреждения, которая после выполнения инициировала загрузку с URL-адреса компрометация. Это привело к доставке многоэтапной полезной нагрузки вредоносное ПО, начинающейся с исполняемого файла MSI, который каскадировался в три дополнительных исполняемых файла, каждый из которых отвечал за развертывание дополнительных вредоносных элементов.

В атаке использовались смарт-контракты на блокчейнах, таких как Ethereum, для сокрытия доменов управление (C2), называемых EtherHiding. Этот процесс значительно повышает способность злоумышленников поддерживать закрепление и уклоняться от статического обнаружения за счет динамического изменения адресов C2. Вредоносное ПО запрашивало обновления из этих смарт-контрактов для получения URL-адресов C2 на различных этапах.

Первая полезная нагрузка, озаглавленная Update1.exe , служил загрузчиком, который извлекал следующие шаги выполнения вредоносное ПО. Он распаковал zip-файл, содержащий следующий исполняемый файл, setup_helper.exe , который манипулировал запланированными задачами, чтобы обеспечить закрепление, и выполнял сценарии, которые отключали различные средства защиты системы. Изменяя исключения Защитника Windows, на этом этапе создавались пути для последующих вредоносных действий.

Конечная полезная нагрузка, CfgHelper.exe , работающий в качестве прослушивателя ботов в рамках более крупной схемы ботнет. Он регулярно связывался со своим сервером C2 для сбора системной информации и отправки ее обратно. Анализ показал, что злоумышленники стремились управлять и поддерживать в рабочем состоянии сеть устройств, состоящую из компрометация, через структурированную Панель управления, доступную в домене сервера ботов.

Тактика кампании подчеркивает эффективность методов первоначальный доступ, таких как typosquatting и ClickFix, в сочетании с изощренными методами доставки вредоносное ПО и закрепление. Сложный характер этой многоэтапной атаки подчеркивает важность тщательной подготовки по вопросам безопасности и защиты от таких развивающихся киберугроза. Организациям рекомендуется ограничить ненужный доступ к PowerShell и принять упреждающие меры для блокирования известных источников фишинг-атак.

#ParsedReport #CompletenessHigh
24-02-2026

Diesel Vortex: Inside the Russian cybercrime group targeting US & EU freight

https://haveibeensquatted.com/blog/diesel-vortex-inside-the-russian-cybercrime-group-targeting-us-eu-freight

Report completeness: High

Actors/Campaigns:
Diesel_vortex (motivation: financially_motivated)

Threats:
Spear-phishing_technique
Git-dumper_tool
Supply_chain_technique
Cloaking_technique
Credential_harvesting_technique
Typosquatting_technique

Victims:
Freight and logistics companies, Trucking companies, Supply chain operators, Users of logistics platforms

Industry:
Petroleum, Logistic, Telco

Geo:
American, Moscow, Russian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1056.003, T1071.001, T1102.003, T1111, T1204.001, T1564.003, T1566.002, T1583.001, T1584, have more...

IOCs:
File: 22
Domain: 78
Url: 2
IP: 26
Hash: 38

Soft:
Telegram, curl, Linux, Gmail, Microsoft Office 365, Unix, Photoshop

Algorithms:
hmac, base64

Functions:
postMessage, escapeHtml

Languages:
javascript, php, python

Links:
https://github.com/arthaud/git-dumper

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, windows: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Российская преступная хакерская группировка Diesel Vortex провела нацелен на фишинг-кампанию против грузовых и логистических компаний в США и Европе, успешно похитив более 1600 учетные данные для входа в систему, используя методы Целевой фишинг и голосовой фишинг. Они использовали двухдоменную архитектуру для фишинг, используя стек LAMP и продвинутые механизмы cloaking, и поддерживали контроль через Телеграм. Деятельность группы свидетельствует о долгосрочной стратегии, направленной на коммерциализацию фишинг-как-услуги, сигнализируя о переходе к более широкому вовлечению криминального рынка.
-----

Российская преступная хакерская группировка, известная как Diesel Vortex, организовала нацелен на фишинг-кампанию против грузовых и логистических компаний как в Соединенных Штатах, так и в Европе. За пять месяцев группа успешно получила более 1600 уникальных учетные данные для входа в систему от пользователей ключевых логистических платформ, используя передовые тактики, такие как Целевой фишинг и голосовой фишинг. Примечательно, что они использовали методы Имперсонация на таких платформах, как DAT Truckstop, Penske Logistics, Electronic Funds Source (EFS) и других, демонстрируя хорошо структурированную и финансово мотивированную операционную модель.

Операция Diesel Vortex включала в себя систематическое развитие инфраструктуры фишинг-атак, адаптированной для платформ логистических услуг, которые часто игнорируются обычными мерами Кибербезопасность из-за транзакционного характера их операций. Группа использовала зависимость этих платформ от ежедневного общения и транзакций, позволяя им выполнять такие действия, как перенаправление счетов-фактур и двойное посредничество, для перехвата важной информации об отправке и финансовых ресурсах.

Тщательный анализ тактики группы выявил сложную архитектуру с двумя доменами. При таком подходе фишинг-письма направляли жертв на, казалось бы, законный "рекламный" домен, который содержал полноэкранный iframe, связанный с вредоносным "системным" доменом, где размещался фактический фишинг-контент. Этот дизайн не только скрывал вредоносный домен с помощью чистого URL-адреса в адресной строке жертвы, но и обходил различные средства защиты от блокировок на основе браузера. Кроме того, операторы контролировали процесс фишинг в режиме реального времени с помощью команд, отправляемых через Телеграм, что облегчало динамическое взаимодействие с жертвами, когда они вводили свои учетные данные.

Техническая реализация их фишинг-инфраструктуры в значительной степени опиралась на стек LAMP и использовала сложный механизм cloaking, включающий в себя многогранные фильтры, такие как проверка интернет-провайдера, блокировка пользовательским агентом и проверка пользовательского пути URL. Эти меры увеличили сложность для потенциальных детекторов и позволили операторам отфильтровывать нежелательных посетителей, включая ботов безопасности и исследователей. Примечательно, что перехваченные учетные данные приведут жертв на вторичные страницы фишинг-рассылки, нацеленные на их поставщиков электронной почты, оптимизируя сбор жизненно важной информации, включая коды двухфакторной аутентификации.

Внутренний репозиторий, открытый через неправильно сконфигурированный каталог Git, пролил свет на операционные процедуры группы, выявив шаблоны для выполнения фишинг-атак, нацеленных на основные логистические платформы. Это хранилище включало потенциальные каналы связи, методы мошенничества и даже отслеживание доходов от их операций, что указывало на высокоорганизованность предприятия.

Вся операция указывает на долгосрочную стратегию: Diesel Vortex, похоже, строит коммерческую модель фишинг как услуга (PhaaS), ориентированную на русскоязычные криминальные рынки. В сочетании с финансовыми схемами, основанными на криптовалютах, данные свидетельствуют о хорошо финансируемой преступной операции, направленной на более широкую коммерциализацию их незаконных услуг.

#ParsedReport #CompletenessLow
26-02-2026

Exploring Aeternum C2: a new botnet that lives on the blockchain

https://qrator.net/blog/details/Exploring-Aeternum-C2/

Report completeness: Low

Threats:
Aeternum
Emotet
Trickbot
Qakbot
Glupteba
Kleenscan_tool

Victims:
Botnet victims, General internet users, Enterprises

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1027, T1105, T1497.001

IOCs:
File: 1

Crypto:
bitcoin

Win API:
Polygon

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Aeternum C2 - это децентрализованный ботнет, использующий блокчейн Polygon для управление, что создает новые проблемы для усилий по уничтожению. Он оснащен загрузчиком C++, который облегчает быстрое распространение команд с помощью смарт-контрактов, обеспечивая неизменяемость команд и быстрое выполнение действий. Aeternum использует методы антианализа, чтобы избежать обнаружения, и работает по недорогой модели, повышая свою устойчивость и позволяя проводить целый ряд мероприятий по борьбе с киберпреступность, одновременно усложняя традиционные методы взлома.
-----

Aeternum C2 - это ботнет, который использует общедоступный блокчейн Polygon для функциональности управление. Он обладает децентрализованной и устойчивой инфраструктурой, что затрудняет его демонтаж традиционными методами. Ботнет содержит загрузчик C++, доступный в версиях x32 и x64, который взаимодействует со смарт-контрактами на блокчейне. Команды записываются в виде блокчейн-транзакций, что делает их доступными для зараженных машин через общедоступные конечные точки RPC. Команды быстро распространяются среди ботов, значительно быстрее, чем одноранговые методы. Однажды выданные команды являются неизменяемыми и не могут быть изменены. Оперативный контроль осуществляется с помощью веб-панели, которая позволяет одновременно управлять несколькими смарт-контрактами. Контракты могут способствовать различным вредоносным действиям, включая кражу учетных данных, удаленный доступ и майнинг криптовалют. Ботнет может отслеживать активные заражения, используя механизм пинга, основанный на идентификаторах Аппаратное обеспечение. Зависимость Aeternum's от блокчейна препятствует традиционным стратегиям демонтажа, поскольку в нем отсутствует центральная точка отказа. Эксплуатационные расходы на обслуживание ботнет невелики, для транзакций требуется лишь небольшое количество MATIC. Он включает функции антианализа, позволяющие избежать обнаружения в виртуализированных средах, и использует службы AV-сканирования для проверки вредоносное ПО перед развертыванием. Появление моделей C2 на основе блокчейна указывает на сдвиг в методах борьбы с киберпреступность, требующий усиления мер Кибербезопасность, сосредоточенных на фильтрации трафика и обнаружении конечных точек.

#ParsedReport #CompletenessLow
27-02-2026

Microsoft Defender Discovers Trojanized Gaming Utility Campaign Stealing Data with RATs

https://gbhackers.com/gaming-utility-campaign/

Report completeness: Low

Threats:
Lolbin_technique

Victims:
Gamers

Industry:
Entertainment

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1053.005, T1059.001, T1112, T1204.002, T1218.003, T1562.001

IOCs:
File: 6
IP: 1

Soft:
Microsoft Defender, Twitter, WhatsApp, Microsoft Defender for Endpoint

Languages:
java, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4