#ParsedReport #CompletenessHigh
04-03-2026

RedAlert Trojan Campaign: Fake Emergency Alert App Spread via SMS Spoofing Israeli Home Front Command

https://www.cloudsek.com/blog/redalert-trojan-campaign-fake-emergency-alert-app-spread-via-sms-spoofing-israeli-home-front-command

Report completeness: High

Threats:
Redalert
Smishing_technique
Cloaking_technique

Victims:
Civilians, Government, Military

Industry:
Financial, Government, Military, Critical_infrastructure

Geo:
Israeli, Israel, Iranian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1406, T1407, T1409, T1412, T1430, T1444, T1446, T1475

IOCs:
File: 4
IP: 5
Domain: 1
Url: 5
Hash: 1

Soft:
Google Play, Android

Algorithms:
sha256, md5, base64

Functions:
getInstallerPackageName

Win API:
getPackageInfo

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Троянская кампания RedAlert использует израильско-иранский конфликт, распространяя троянское приложение Home Front Command с помощью SMS-фишинг. Вредоносное ПО использует передовые технологии, такие как динамические перехваты прокси-серверов и многоэтапную цепочку заражения, чтобы обойти меры безопасности Android и сохранить функциональность без обнаружения. После установки он агрессивно собирает конфиденциальные пользовательские данные и может обходить двухфакторную аутентификацию, что вызывает серьезные стратегические опасения в условиях сохраняющейся напряженности.
-----

Троянская кампания RedAlert подчеркивает значительную киберугроза на фоне возросшей напряженности в израильско-иранском конфликте. Эта кампания использует актуальность оповещений о ракетных атаках в режиме реального времени, распространяя троянскую версию законного приложения Home Front Command с помощью SMS-фишинг (smishing). Жертв обманом заставляют загружать этот вредоносный APK-файл, который маскирует свою истинную функциональность за кажущимся аутентичным интерфейсом оповещения. Этот метод обходит Google Play Store, таким образом избегая типичных проверок безопасности.

Вредоносное ПО использует сложные методы для обеспечения того, чтобы его работа оставалась незамеченной. Используя динамические перехватчики прокси-серверов, он подделал сертификат подписи оригинального приложения от 2014 года, чтобы обойти проверки целостности Android и меры безопасности. Вредоносное ПО состоит из многоэтапной цепочки заражения: начальный загрузчик (основной APK-файл) скрывает вредоносную полезную нагрузку, используя отражение для обхода проверок на подделку; промежуточная полезная нагрузка извлекает более вредоносные компоненты; а основная полезная нагрузка, после выполнения, устанавливает соединение с подконтрольной злоумышленнику системой управления (C2) инфраструктура.

С точки зрения функциональности троянец идеально имитирует законное приложение, сохраняя внешний вид, в то время как он агрессивно запрашивает у жертв разрешения с высоким уровнем риска. Получив разрешение, он запускает процедуры сбора данных, активно собирая данные GPS, входящие SMS-сообщения и списки контактов. Эта информация передается обратно на серверы C2 с постоянными HTTP-запросами POST, обеспечивая постоянный поток разведывательных данных с зараженных устройств. Примечательно, что вредоносное ПО продемонстрировало способность обходить двухфакторную аутентификацию путем перехвата SMS-сообщений, тем самым создавая как стратегические, так и физические угрозы безопасности.

Во время продолжающегося конфликта эта кампания обладает уникальными уязвимостями, поскольку отслеживание местоположения в режиме реального времени может позволить противникам точно определять укрытия гражданских лиц, отслеживать перемещения и выявлять потенциальные важные цели. Этот сбор данных служит не только военным целям, но и ведет психологическую войну, потенциально манипулируя SMS-сообщениями с целью создания беспорядков среди гражданского населения.

Смягчение угрозы, исходящей от этого вредоносное ПО, требует комплексных действий. Немедленные меры включают в себя изоляцию устройств, подвергшихся компрометация, от сетей, отмену административных привилегий и выполнение заводских настроек для устранения вредоносное ПО. В целях долгосрочной профилактики организациям настоятельно рекомендуется внедрять решения для управления мобильными устройствами (MDM), которые ограничивают установку приложений в Google Play Store, наряду со строгими проверками приложений, запрашивающих чрезмерные разрешения. Информирование персонала о рисках, связанных с кампаниями smishing в военное время, имеет жизненно важное значение, особенно подчеркивая, что законные правительственные приложения никогда не будут запрашивать доступ к конфиденциальным персональным данным, таким как SMS или контакты.

#ParsedReport #CompletenessLow
03-03-2026

Malicious Packagist Packages Disguised as Laravel Utilities Deploy Encrypted RAT

https://socket.dev/blog/malicious-packagist-packages-disguised-as-laravel-utilities

Report completeness: Low

Actors/Campaigns:
Nhattuanbl

Victims:
Laravel applications, Open source software ecosystem

TTPs:
Tactics: 4
Technics: 7

IOCs:
Domain: 2
File: 3
Hash: 1

Soft:
Laravel, Outlook, Unix, Linux, Windows registry, macOS

Algorithms:
aes-128-ctr, base64, sha256

Functions:
BsYhQ, TB0sT, register, class_exists, stream_socket_client, imagegrabscreen

Languages:
php, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В репозитории Packagist были обнаружены вредоносные пакеты, имитирующие утилиты Laravel, распространяющие зашифрованную Троянская программа для удаленного доступа (RAT) злоумышленник nhattuanbl. RAT подключается к серверу управление, облегчая разведка системы и удаленный доступ, оставаясь при этом незаметным. Он использует функциональность Composer для выполнения своей полезной нагрузки без взаимодействия с пользователем, используя зависимости для маскировки своей установки, и представляет постоянную угрозу для различных операционных систем, обладая возможностями для эксфильтрации конфиденциальных данных.
-----

Вредоносные пакеты, имитирующие утилиты Laravel, были идентифицированы как распространяющие зашифрованную Троянская программа удаленного доступа (RAT) через репозиторий Packagist. Злоумышленник nhattuanbl, связанный с электронным письмом nhattuanbl@gmail.com , создал по меньшей мере три пакета: nhattuanbl/lara-helper и nhattuanbl/simple-queue, оба из которых включают идентичную полезную нагрузку RAT в src/helper.php файл. Пакет nhattuanbl/lara-swagger, хотя и лишен вредоносного кода, содержит зависимость, которая вызывает установку RAT всякий раз, когда он добавляется в проект, что делает его переносчиком вредоносное ПО.

RAT включает в себя функции, которые позволяют ему подключаться к серверу управление (C2), расположенному по адресу helper.leuleu.net: 2096. После выполнения RAT инициирует разведка системы и отправляет эти данные обратно в C2. Он работает в фоновом режиме, сохраняя скрытность, ожидая команд от оператора, который получает полный удаленный доступ к узлу компрометация.

В процессе установки используются функциональные возможности Composer. В "lara-helper" зарегистрирован поставщик услуг Laravel, который выполняет полезную нагрузку во время загрузки приложения. В "простой очереди" полезная нагрузка запускается сразу после загрузки пакета, запускается обычными функциями автозагрузки. Это позволяет RAT работать без какого-либо прямого взаимодействия с пользователем.

Связь C2 использует необработанный TCP, используя PHP stream_socket_client() с механизмами повторных попыток каждые 15 секунд в случае сбоя. RAT извлекает уникальный идентификатор компьютера и может выполнять различные команды, отправленные в формате JSON из C2. Поддерживаемые команды включают выполнение команд shell или PowerShell, захват скриншотов и чтение/запись файлов в системе компрометация. RAT устойчив к общим ограничениям безопасности PHP, проверяя доступные методы выполнения команд на основе настроек disable_functions в PHP.

Одним из примечательных аспектов является зависимость, созданная "lara-swagger", которая эффективно маскирует установку RAT, подключая "lara-helper` без предупреждения. Эта стратегия позволяет избежать проверки, сосредоточенной исключительно на непосредственно устанавливаемом пакете.

Угроза, исходящая от этих пакетов, распространяется на различные операционные системы, включая Windows, macOS и Linux. После установки любое приложение Laravel, использующее пакеты компрометация, невольно предоставляет злоумышленник постоянный доступ с возможностью беспрепятственной эксфильтрации конфиденциальных данных, таких как учетные данные базы данных и ключи API. Хотя сервер C2 не отвечал на запросы на момент составления отчета, постоянный характер RAT означает, что он остается угрозой, постоянно пытаясь восстановить контакт с потенциальными альтернативными адресами C2. Атака согласуется с несколькими методами, каталогизированными в фреймворк MITRE ATT&CK, подчеркивая риски, связанные с уязвимостями supply chain программного обеспечения.

#ParsedReport #CompletenessLow
04-03-2026

Hacktivist campaigns increase as United States, Iran, and Israel conflict intensifies

https://www.sophos.com/en-us/blog/hacktivist-campaigns-increase-as-united-states-iran-and-israel-conflict-intensifies

Report completeness: Low

Actors/Campaigns:
Handala-hacking-team (motivation: hacktivism)
Handala (motivation: hacktivism)
Cyber_toufan (motivation: hacktivism)
Cyb3r_drag0nz (motivation: hacktivism)

Threats:
Cobalt_mystique
Bqtlock
Password_spray_technique

Victims:
Israeli government, Israeli military, Israeli critical infrastructure, Israeli organizations, United states organizations, Gulf cooperation council states organizations, Media outlets, Critical infrastructure organizations, Iranian organizations, Iranian citizens, have more...

Industry:
Petroleum, Critical_infrastructure, Military, Government

Geo:
Middle east, Iran, Israeli, Israel, Iranian

ChatGPT TTPs:
do not use without manual check
T1068, T1078, T1110.003, T1190, T1486, T1491, T1491.001, T1498, T1499, T1565.003, have more...

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
После военных операций США и Израиля против иранских объектов 28 февраля 2026 года произошел всплеск киберактивности со стороны иранских групп хактивистов, особенно через Телеграм и X. Среди них выделяется команда Handala Hack, связанная с COBALT MYSTIQUE, которая расширила свои коммуникации и угрожает израильской инфраструктуре. Другие группировки, включая APTIran и BaqiyatLock, поощряют нападения на израильские объекты, подчеркивая рост совместных усилий по применению тактики низкой сложности на фоне сохраняющейся региональной напряженности.
-----

После военных операций против иранских объектов 28 февраля 2026 года наблюдается рост активности иранских хактивистов. Проиранские хактивисты в основном осуществляют дефейс веб-сайтов, DDoS-атаки и doxxing, а не сложные атаки. Команда Handala Hack, связанная с группой COBALT MYSTIQUE, активизировала свою деятельность, распространяя угрозы и заявляя об атаках на израильскую инфраструктуру. Они создали портал "RedWanted", на котором перечислялись цели, поддерживающие Израиль. Аптиран поощряет проиранских хакеров к проведению кибератак, продвигая предполагаемые утечки информации об израильской инфраструктуре в Телеграм. Другие группы, такие как Cyber Toufan и Cyber Support Front, используют дезинформацию и тактику низкого уровня. Группа вымогателей BaqiyatLock поощряет хакерские атаки на израильские объекты, что указывает на сотрудничество между иранскими группировками. Произраильские группировки, такие как Troll Hacker Team, противодействуют этой деятельности. Обостряющаяся ситуация увеличивает риски для организаций США по мере роста региональной напряженности. Организациям в США и на Ближнем Востоке рекомендуется усилить меры безопасности против фишинг, кражи учетных данных и уделять приоритетное внимание исправлению известных уязвимостей. Рекомендуются базовые методы обеспечения Кибербезопасность и обзоры планов обеспечения непрерывности бизнеса на предмет угроз со стороны программ-вымогателей.

#ParsedReport #CompletenessHigh
03-03-2026

Silver Dragon Targets Organizations in Southeast Asia and Europe

https://research.checkpoint.com/2026/silver-dragon-targets-organizations-in-southeast-asia-and-europe/

Report completeness: High

Actors/Campaigns:
Silver_dragon
Winnti

Threats:
Cobalt_strike_tool
Silverscreen
Sshcmd_tool
Geardoor
Dns_tunneling_technique
Bamboloader
Toolshell_vuln
Monikerloader
Junk_code_technique
Process_injection_technique
Dll_sideloading_technique

Victims:
Government

Industry:
Government

Geo:
China, Chinese, Uzbekistan, Italian, Asia

TTPs:
Tactics: 2
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1005, T1021.002, T1027, T1027.013, T1036, T1036.004, T1041, T1053.005, T1055, T1059.001, have more...

IOCs:
Path: 18
File: 16
Registry: 3
Domain: 14
IP: 1
Command: 3
Hash: 31

Soft:
NET Framework, Windows Registry, Windows service, Windows Update Service, Windows shell

Algorithms:
md5, des, xor, base64, lznt1, sha256, gzip, rc4

Win API:
RtlDecompressBuffer

Languages:
powershell

Platforms:
x64

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 10, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Silver Dragon - это APT-группировка, связанная с APT41, которая с середины 2024 года занимается правительственными организациями в Юго-Восточной Азии и Европе. Они используют фишинг-кампании и используют общедоступные серверы для первоначальный доступ, используя такие методы, как перехват Служба Windows для закрепление. Их тактика включает в себя развертывание бэкдора GearDoor через Google Диск для скрытой связи управление, использование Cobalt Strike Beacons в качестве конечной полезной нагрузки и использование сложных методов, таких как DNS tunneling и DLL hijacking, чтобы избежать обнаружения.
-----

Silver Dragon - это APT-группировка, связанная с китайским нексусом APT41, активно нацеленная на организации в Юго-Восточной Азии и Европе, особенно в правительственных секторах. Эта группа действует с середины 2024 года и использует различные средства для первоначальный доступ, преимущественно используя общедоступные интернет-серверы и проводя кампании фишинг-рассылки с вредоносными вложениями.

Как только доступ получен, Silver Dragon использует особые методы закрепление, в основном перехватывая законные Служба Windows. Этот метод позволяет их вредоносным процессам встраиваться в обычные системные операции, затрудняя обнаружение. Они используют различные инструменты, в том числе бэкдор GearDoor, который использует Google Диск в качестве канала управление (C2) для скрытой связи. Кроме того, они используют пользовательские инструменты, такие как SSHcmd для удаленного доступа и SliverScreen для мониторинга активности на экране путем периодического создания скриншотов.

Цепочки заражения обычно включают в себя развертывание Cobalt Strike Beacons, часто в качестве конечной полезной нагрузки. Две выявленные основные цепочки включают захват домена приложения и развертывание служебной библиотеки DLL, оба из которых обычно выполняются с помощью сжатых RAR-архивов, содержащих сценарии установки. Метод перехвата домена приложения использует преимущества законного процесса Windows (dfsvc.exe ) путем замены последовательности его выполнения вредоносным кодом с помощью сценария пакетной установки и серии вредоносных библиотек DLL. Такой подход гарантирует, что атака сохранится после перезагрузки системы.

Метод Service DLL использует сильно запутанный загрузчик с именем BamboLoader, который регистрирует службу, использующую законную фоновую службу. Этот загрузчик расшифровывает и выполняет полезные нагрузки Cobalt Strike, манипулируя процессами Windows. Фишинг-кампании также играют решающую роль; в них используются защищенные файлы LNK, которые содержат вредоносную полезную нагрузку, встроенную в их структуру. При запуске эти файлы выполняют команды, которые еще больше облегчают установку и закрепление механизма вредоносное ПО.

Silver Dragon использует сложные технологии, такие как DNS tunneling для обмена данными управление и уникальные методы запутывания, позволяющие избежать обнаружения. Примечательно, что они продемонстрировали гибкость в своей деятельности, используя относительно надежную платформу для связи C2 через Google Диск, продемонстрировав продвинутую адаптацию к традиционным защитным мерам. GearDoor работает как многофункциональный бэкдор, который управляет выполнением задач с помощью определенных типов файлов на Google Диске, что позволяет избежать прямого обнаружения, одновременно облегчая эксфильтрация и дальнейшие операционные команды.

Громкие нападки этой группировки и эволюционирующая тактика подчеркивают изощренность современных киберугроза. Их методология показывает зависимость от пользовательских инструментов и техник, которые не только обеспечивают скрытность, но и обеспечивают постоянную оперативную гибкость, что делает Silver Dragon значимым игроком на современном ландшафте угроз.

#ParsedReport #CompletenessLow
04-03-2026

Exposing a Russian Campaign Targeting Ukraine Using New Malware Duo: BadPaw and MeowMeow

https://www.clearskysec.com/russian-campaign-targeting-ukraine-badpaw-and-meowmeow/

Report completeness: Low

Actors/Campaigns:
Fancy_bear

Threats:
Badpaw
Meowmeow
Dotnet_reactor_tool
Procmon_tool

Victims:
Ukrainian entities

Geo:
Ukraine, Ukrainian, Russian

ChatGPT TTPs:
do not use without manual check
T1027, T1059.005, T1071.001, T1105, T1204.002, T1480.001, T1497.001, T1547, T1566.002, T1622, have more...

IOCs:
File: 1

Soft:
NET Reactor

Algorithms:
zip

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Целенаправленная киберкампания, атрибутирован с злоумышленник, связанный с российским государством, нацелена на Украину, используя недавно обнаруженные вредоносное ПО штаммов BadPaw и MeowMeow. Кампания начинается с фишинг-писем, ведущих к ZIP-архиву, который запускает HTA-файл и загружает загрузчик BadPaw, который устанавливает связь C2 и развертывает бэкдор MeowMeow. Оба штамма вредоносное ПО демонстрируют передовые методы обфускации и осведомленность об окружающей среде, чтобы избежать обнаружения, особенно с помощью инструментов анализа.
-----

Команда ClearSky выявила целенаправленную киберкампанию, атрибутирован с российскими злоумышленник, связанными с государством, направленную конкретно на Украину. В этой кампании используются два недавно обнаруженных штамма вредоносное ПО, известных как BadPaw и MeowMeow. Первоначальный вектор атаки включает в себя фишинг-рассылки по электронной почте, которые побуждают жертв загрузить ZIP-архив. После извлечения он запускает файл HTA, который представляет собой вводящий в заблуждение документ на украинском языке, касающийся апелляций на пересечение границы. Одновременно это запускает загрузку загрузчика BadPaw, который реализован с помощью .СЕТЕВЫЕ технологии.

После активации BadPaw устанавливает связь по каналу управление (C2) и впоследствии развертывает бэкдор MeowMeow. Оба штамма вредоносное ПО тщательно маскируются с помощью .NET Reactor, что свидетельствует об усилиях операторов избежать обнаружения и облегчить закрепление в зараженных средах. Чтобы усовершенствовать методы уклонения, вредоносное ПО использует строгую проверку параметров, которая приводит к тому, что вредоносные компоненты остаются неактивными, запуская только доброкачественный код с неопасным графическим интерфейсом, если не выполняются определенные условия.

Кроме того, MeowMeow оснащен расширенной системой защиты окружающей среды, включающей механизмы обнаружения сред виртуальных машин и распространенные инструменты анализа, такие как Wireshark, ProcMon и Fiddler. При обнаружении таких инструментов бэкдор незамедлительно прекращает свою работу, чтобы избежать анализа исследователями безопасности.

Предположение команды ClearSky о том, что злоумышленник связан с российским государством, подкрепляется многогранным подходом к анализу. Во-первых, нацеленность кампании на украинские цели предполагает соответствие геополитическим целям России. Во-вторых, идентификация русскоязычных строк в коде вредоносное ПО указывает на разработку в русском лингвистическом контексте. Наконец, методология заражения кампании, использование загрузчиков .NET и методов обфускации соответствуют тактическим схемам, наблюдавшимся в предыдущих операциях, связанных с российскими преступная хакерская группировка, в частности, с осторожной привязкой к APT28 (Fancy Bear). В целом, эта кампания демонстрирует изощренный подход к кибершпионажу против Украины, отражающий сохраняющуюся геополитическую напряженность.

#ParsedReport #CompletenessLow
03-03-2026

Analysis of an Integrated Phishing Campaign Utilizing Google Cloud Infrastructure

https://malwr-analysis.com/2026/03/03/analysis-of-an-integrated-phishing-campaign-utilizing-google-cloud-infrastructure/

Report completeness: Low

Victims:
Consumers

Industry:
Healthcare, Retail, Transport

ChatGPT TTPs:
do not use without manual check
T1204, T1204.001, T1566.002, T1583.006

IOCs:
Url: 1
File: 1

Soft:
gatekeeper

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинг-кампания использует облачную инфраструктуру Google для обхода мер безопасности, в ходе которой более 25 электронных писем направляют цели на вредоносный скрипт, размещенный в контейнере Google Cloud storage. Злоумышленники используют это, чтобы уклониться от проверок SPF и DKIM, приводя жертв на сайт, который собирает данные кредитной карты с помощью тактик социальной инженерии, таких как срочность и вознаграждение за узнаваемый бренд. Кампания иллюстрирует тенденцию "фишинг на доверенных платформах", в которой основное внимание уделяется финансовому мошенничеству с помощью вводящих в заблуждение запросов, основанных на срочности, после первоначального перенаправления.
-----

Недавно появилась кампания по фишинг-атаке, которая использует законную облачную инфраструктуру Google для обхода стандартных мер безопасности. Было выявлено более 25 различных фишинг-писем, нацеленных на одну учетную запись, и все они приводили пользователей к URL-адресу, связанному с контейнером облачного хранилища Google под названием "whilewait". В этом контейнере размещен файл вредоносного скрипта, "comessuccess.html ," который служит перенаправителем для облегчения атаки.

Злоумышленники используют серверы Google для размещения своей первоначальной ссылки на фишинг, позволяя электронным письмам проходить проверки подлинности, такие как SPF и DKIM. Когда пользователи переходят по ссылке, они автоматически перенаправляются на сторонний вредоносный сайт, где собирается конфиденциальная информация, в частности данные кредитной карты. Кампания использует различные тактики социальной инженерии, чтобы побудить пользователей переходить по фишинг-ссылкам. Эта тактика включает в себя создание ощущения срочности с помощью сообщений о том, что "Облачное хранилище заполнено" или "Хранилище аккаунта Google заполнено", а также внушение опасений в отношении безопасности с помощью предупреждений типа "Обнаружена критическая угроза" или "Срок действия антивирусной защиты истек". Кроме того, злоумышленники используют стимулы для розничной торговли, предоставляя предложения о вознаграждении от узнаваемых брендов наряду с рекламными акциями, касающимися образа жизни и решений для здоровья, что повышает достоверность их попыток фишинг-рассылки.

После того, как пользователи перенаправляются с Google Cloud link, они, как правило, сталкиваются с запросами о "плате за доставку" или "плате за обслуживание", чтобы получить доступ к своим вознаграждениям или обновлениям для системы безопасности. Этот этап является критическим для злоумышленников, поскольку он нацелен на сбор данных с кредитных карт. Любая финансовая информация, введенная на мошеннических сайтах, затем перехватывается, что приводит к немедленному финансовому мошенничеству. Тактика, используемая в этой кампании, согласуется с недавними исследованиями, свидетельствующими о росте количества электронных писем-отпугивателей, подталкивающих пользователей к подписке на мошеннические подписки или сервисные порталы.

Чтобы снизить риск, связанный с этим сложным "фишинг на доверенной платформе", эксперты по безопасности рекомендуют внедрять строгую фильтрацию электронной почты и постоянное обучение пользователей сигналам фишинг и подозрительным ссылкам. Пользователи должны быть обучены проверять подлинность сообщений и воздерживаться от ввода конфиденциальной информации, если они не уверены в легитимности сайта.

#ParsedReport #CompletenessLow
04-03-2026

Copy, Paste, Ransom: Making Data Exfiltration As Easy as AzCopy

https://www.varonis.com/blog/azcopy-data-exfiltration

Report completeness: Low

Threats:
Azcopy_tool
Rclone_tool
Megasync_tool

Victims:
Enterprises, Organizations

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1030, T1070.004, T1105, T1119, T1133, T1218, T1567.002, T1583.003

Soft:
Twitter