#ParsedReport #CompletenessLow
12-03-2026

Russian Spy Hackers Weaponize Signal & WhatsApp to Infiltrate Encrypted Conversations

https://www.secureblink.com/cyber-security-news/russian-spy-hackers-weaponize-signal-and-whats-app-to-infiltrate-encrypted-conversations

Report completeness: Low

Victims:
Government officials, Military staff, Civil servants, Journalists, Messaging platform users

Industry:
Military, Government

Geo:
Russian, Dutch

TTPs:

Soft:
WhatsApp

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Голландская разведка предупредила о спонсируемых российским государством хакерах, использующих методы фишинга для нацеливания на пользователей платформ зашифрованных сообщений, таких как Signal и WhatsApp. Злоумышленники используют фишинг с использованием проверочного кода и сканирование QR-кода, чтобы получить контроль над учетными записями жертв, тем самым обходя сквозное шифрование и получая доступ к конфиденциальным разговорам. Их стратегия основана на социальной инженерии, фокусируясь на важных целях, таких как правительственный и военный персонал, используя тактику, соответствующую фреймворку MITRE ATT&CK, связанную с фишингом, Манипуляциями с учетными записями и использованием Существующих учетных записей.
-----

Голландская разведка опубликовала предупреждение относительно киберугрозы, исходящей от российских хакеров, спонсируемых государством, которые используют фишинг-атаки для проникновения к пользователям платформ зашифрованного обмена сообщениями, таких как Signal и WhatsApp. Основная цель хакеров - получить постоянный доступ к конфиденциальным разговорам высокопоставленных лиц, включая правительственных чиновников, военнослужащих, госслужащих и журналистов. Эта операция использует тактику социальной инженерии, которая использует законные рабочие процессы аутентификации учетной записи, а не нацелена на конкретные уязвимости программного обеспечения.

Методология атаки включает в себя две ключевые стратегии: фишинг с использованием кода проверки и злоупотребление привязкой устройств. В первом случае злоумышленники отправляют сообщения, в которых заявляют о необходимости верификации учетной записи, предлагая жертвам поделиться одноразовыми проверочными кодами или PIN-кодами. Как только злоумышленники получат эти коды, они смогут зарегистрировать учетную запись жертвы на контролируемом ими устройстве. При втором подходе жертв обманом заставляют сканировать QR-коды, которые связывают их учетные записи обмена сообщениями с устройствами злоумышленников. Успешно применяя любую из этих тактик, злоумышленники могут обойти сквозное шифрование, предоставляемое платформами, поскольку они контролируют одну из конечных точек, обеспечивая доступ к разговорам в режиме реального времени.

Оперативный фреймворк процесса проникновения начинается с разведки, направленной на выявление целей, которые, вероятно, будут участвовать в конфиденциальных дискуссиях с помощью зашифрованных сообщений. Злоумышленники разрабатывают убедительные приманки социальной инженерии, адаптированные к ролям жертв и текущим событиям. Они инициируют контакт с помощью различных средств, включая SMS, обмен сообщениями в приложении или электронную почту, требуя немедленного ответа на запросы о предоставлении проверочных кодов или QR-сканирования. После успешной привязки учетной записи к своему устройству злоумышленники могут собирать и использовать сообщения, контакты и файлы, которыми обмениваются в этих чатах, для последующих операций.

С точки зрения технического отображения, атака согласуется с несколькими тактиками в фреймворке MITRE ATT&CK. К ним относятся T1566 (Фишинг), T1204 (Выполнение с участием пользователя/социальная инженерия), T1098 (Манипуляции с учетными записями) и T1078 (Существующие учетные записи), которые описывают переход от первоначального взаимодействия с жертвой к окончательной компрометации содержимого защищенных сообщений.

Чтобы усилить защиту от такой тактики, организациям следует принять ряд мер предосторожности. Пользователям настоятельно рекомендуется не пересылать проверочные коды или PIN-коды и относиться к незапрашиваемым запросам QR-кода как к потенциально вредоносным. Включение дополнительных функций безопасности, таких как блокировки при регистрации и исчезающие сообщения, может еще больше снизить риски. Предоставление пользователям простого контрольного списка и простых механизмов отчетности о подозрительных сообщениях также может помочь снизить эффективность этих атак фишинга.

#ParsedReport #CompletenessLow
11-03-2026

Phishers hide scam links with IPv6 trick in free toothbrush emails

https://www.malwarebytes.com/blog/scams/2026/03/phishers-hide-scam-links-with-ipv6-trick-in-free-toothbrush-emails

Report completeness: Low

Victims:
Health insurance customers

Industry:
Healthcare, Financial, Transport

ChatGPT TTPs:
do not use without manual check
T1027, T1204.001, T1566.002, T1583.001, T1584.005

IOCs:
IP: 3
Domain: 2

Soft:
Azure Blob

Win Services:
bits

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники, выдающие себя за United Healthcare, проводят кампании фишинга, предлагая бесплатные продукты, чтобы заманить жертв перейти по Вредоносным ссылкам, которые ведут на сайты фишинга, нацеленные на сбор личной информации (PII) и реквизитов платежных карт. Недавно эти кампании перешли на использование ссылок IPv6, что повысило их способность избегать обнаружения при быстрой смене целевых страниц для максимального извлечения данных. Основной целью злоумышленников является компрометация финансовой информации, что подчеркивает необходимость проявлять бдительность в отношении таких изощренных мошенничеств.
-----

Кампании фишинга, использующие предложения бесплатных товаров, таких как зубная щетка Oral-B, были идентифицированы как тактика, используемая злоумышленниками, выдающими себя за United Healthcare. Эти электронные письма создаются для того, чтобы побудить получателей переходить по ссылкам, ведущим на мошеннические целевые страницы. Основная цель этих ссылок - собрать личную информацию (PII) вместе с реквизитами платежной карты, часто оформляемую как часть процесса подтверждения соответствия требованиям или оплаты доставки.

Недавно метод фишинга эволюционировал, чтобы использовать ссылки IPv6 вместо ранее распространенных ссылок на хранилище больших двоичных объектов Microsoft Azure. Этот вариант не только помогает замаскировать вредоносный умысел URL-адресов, но и усложняет усилия по обнаружению. Быстрая смена целевых страниц указывает на изощренный подход злоумышленников, направленный на то, чтобы обойти меры безопасности и быстро собрать конфиденциальную информацию у как можно большего числа жертв.

Конечной целью злоумышленников является компрометация финансовой информации, что еще больше подчеркивает настоятельную необходимость принятия немедленных мер лицами, которые, возможно, попались на удочку подобных мошенников. Жертвам рекомендуется аннулировать свои карты, оспаривать несанкционированные платежи и менять пароли, связанные с любыми учетными записями, привязанными к указанным ими Адресам эл. почты. Кроме того, выполнение проверок безопасности и обеспечение обновления устройств и программного обеспечения имеет решающее значение для ограничения потенциальных последствий таких попыток фишинга.

Меняющаяся тактика этих злоумышленников подчеркивает важность бдительности пользователей при выявлении мошенничества и необходимость принятия строгих мер Кибербезопасности, включая использование решений для защиты от вредоносного ПО в режиме реального времени, способных обнаруживать и блокировать вредоносные действия онлайн.

#ParsedReport #CompletenessHigh
12-03-2026

6 Malicious Packagist Themes Ship Trojanized jQuery and FUNNULL Redirect Payloads

https://socket.dev/blog/6-malicious-packagist-themes-ship-trojanized-jquery

Report completeness: High

Actors/Campaigns:
Funnull

Threats:
Supply_chain_technique
Typosquatting_technique
Ringh23_tool

Victims:
Ophimcms ecosystem, Movie streaming sites, Website visitors

Industry:
Entertainment

Geo:
Macau, Philippines, Los angeles, Chinese, Vietnamese

TTPs:
Tactics: 3
Technics: 3

IOCs:
Domain: 11
Url: 4
File: 11
IP: 1
Hash: 1

Soft:
OphimCMS, Outlook, Laravel, ophimcms Laravel, Android, Chrome, Polyfill

Algorithms:
rc4, sha256, base64

Functions:
atob

Languages:
php, javascript

Platforms:
apple

Links:
https://github.com/hacoidev/ophim-core

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние результаты выявили шесть вредоносных пакетов, выдающих себя за темы для вьетнамской OphimCMS, которые включают троянские библиотеки jQuery для фильтрации URL-адресов, внедрения рекламы и перенаправления пользователей на вредоносные сайты, управляемые FUNNULL, филиппинской организацией, связанной с мошенничеством с криптовалютами. Вредоносные полезные программы JavaScript используют методы запутывания и особые условия активации, такие как таргетинг на платформу и управление файлами cookie. Эти темы при значительном количестве установок создают существенные риски, подвергая пользователей утечке данных и мошеннической рекламе без изменения основного PHP-кода.
-----

Недавнее исследование выявило шесть вредоносных пакетов, размещенных на Packagist, которые Маскировку под темы для OphimCMS, системы управления контентом Laravel на вьетнамском языке. Эти пакеты являются частью более масштабной схемы, которая включает в себя троянские библиотеки jQuery, встроенные в эти темы, предназначенные для фильтрации URL-адресов, внедрения рекламы и перенаправления пользователей на вредоносные веб-сайты, управляемые FUNNULL. FUNNULL - базирующийся на Филиппинах поставщик инфраструктуры, находящийся под санкциями США за участие в мошенничестве с инвестициями в криптовалюты и связанный с огромным количеством вредоносных доменов.

Вредоносная полезная нагрузка в основном внедряется в файлы JavaScript, поставляемые в комплекте с темами, используя законную библиотеку jQuery в качестве механизма доставки. Некоторые полезные приложения специально адаптированы для мобильных пользователей, перенаправляя их на платформы азартных игр и контента для взрослых. Каждая затронутая тема использует различные цепочки атак. Например, некоторые пакеты используют шифр Caesar для кодирования своего домена управления (C2), который используется для фильтрации URL-адресов просмотра пользователями, в то время как другие реализуют внедрение рекламы или методы перехвата кликов для показа нежелательной рекламы.

Примечательно, что вредоносные темы содержат только вредоносный код JavaScript, без изменений в базовой кодовой базе PHP. Среди идентифицированных пакетов "theme-dy", "theme-mtyy" и "theme-rrdyw" содержат значительную полезную нагрузку, которая включает эксфильтрацию URL-адресов и внедрение рекламы, в то время как другие, такие как "theme-pcc", демонстрируют поведение перехвата кликов, которое манипулирует взаимодействиями пользователей для получения мошеннической рекламы.

Кроме того, в этих угрозах используются методы обфускации, которые усложняют обнаружение и анализ. Например, один из вариантов обеспечивает их выполнение только на определенных платформах и после многократных посещений, используя файлы cookie для управления условиями активации. Другие эксплойты включают в себя наложение рекламы, которая скрывает законный интерфейс сайта, заставляя пользователя просматривать вредоносный контент.

Воздействие этих вредоносных тем имеет далеко идущие последствия, поскольку любой сайт, использующий их, рискует подвергнуть своих посетителей утечке данных, несанкционированной рекламе и рискованным перенаправлениям, основанным на дифференцированных условиях таргетинга. Учитывая, что зарегистрировано более 2750 установок, воздействие является значительным и представляет существенную угрозу, особенно учитывая, что некоторые векторы атак не имеют географических ограничений, затрагивая глобальную базу пользователей.

Таким образом, этот случай иллюстрирует растущую тенденцию к компрометации supply chains программного обеспечения, когда законные платформы превращаются в оружие с помощью, казалось бы, безобидных обновлений, демонстрируя необходимость бдительного контроля за сторонними пакетами в экосистемах разработки программного обеспечения. Методы атак и базовая инфраструктура являются примечательными иллюстрациями современной тактики киберугроз, которая требует постоянной бдительности и упреждающей защиты в рамках системы ИТ-безопасности.

#ParsedReport #CompletenessMedium
12-03-2026

Storm-2561 uses SEO poisoning to distribute fake VPN clients for credential theft

https://www.microsoft.com/en-us/security/blog/2026/03/12/storm-2561-uses-seo-poisoning-to-distribute-fake-vpn-clients-for-credential-theft/

Report completeness: Medium

Actors/Campaigns:
Storm-2561 (motivation: cyber_criminal, financially_motivated)

Threats:
Seo_poisoning_technique
Malgent
Trojanspy:win64/hyrax

Victims:
Enterprise users, Vpn users

TTPs:
Tactics: 4
Technics: 0

IOCs:
Domain: 19
Url: 1
IP: 2
Path: 2
Hash: 11

Soft:
Microsoft Defender, Microsoft Defender for Endpoint, Windows Installer, Windows security, rosoft Defender for Endpoint VPN, Ivanti, Twitter

Algorithms:
zip, sha256, exhibit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В январе 2026 года злоумышленник Storm-2561 запустил кампанию по краже учетных данных, используя SEO poisoning для распространения поддельных VPN-клиентов, имитирующих надежные приложения. Перенаправляя пользователей, ищущих законное программное обеспечение VPN, на вредоносные ZIP-файлы, которые включают троянские программы, подписанные отозванным сертификатом, злоумышленники собирают конфиденциальные учетные данные VPN с помощью поддельных запросов на вход. Вредоносное ПО устанавливает закрепление с помощью раздела реестра Windows RunOnce и использует обход защиты, маскируя свою вредоносную активность вводящими в заблуждение сообщениями об ошибках, чтобы пользователи не знали о компрометации.
-----

В январе 2026 года кампания по краже учетных данных, атрибутируемая с Storm-2561, использовала SEO poisoning для распространения поддельных VPN-клиентов. Злоумышленник действует с мая 2025 года. Вредоносные ZIP-файлы, размещенные на веб-сайтах, контролируемых злоумышленниками, перенаправляют пользователей, которые ищут законное корпоративное программное обеспечение VPN. Трояны, содержащиеся в этих файлах, имеют цифровую подпись для повышения их легитимности при сборе конфиденциальной информации, в частности учетных данных VPN. Ориентируясь на бренд Pulse Secure VPN, злоумышленники повышают рейтинг мошеннических сайтов в результатах поиска. Загруженное программное обеспечение имитирует подлинные установщики VPN и включает в себя процесс дополнительной загрузки вредоносных DLL-файлов. Вредоносное ПО создает поддельное приглашение для входа, идентичное законному интерфейсу Pulse Secure, чтобы украсть учетные данные пользователя. Он устанавливает закрепление путем манипулирования разделом реестра Windows RunOnce, выполняющимся при перезапуске системы. Трояны подписываются отозванным сертификатом, что помогает им обходить меры безопасности. Вредоносное ПО отображает ложное сообщение об ошибке после отправки учетных данных, вводя пользователей в заблуждение, заставляя их думать, что необходима переустановка. Кроме того, он может получить доступ к сохраненным данным конфигурации VPN для несанкционированного доступа. Происходит эксфильтрация данных в инфраструктуру управления атакующим. Защитник Microsoft обнаружил компоненты, связанные с этой кампанией.

#ParsedReport #CompletenessHigh
12-03-2026

Operation Roundish: Uncovering an APT28 Roundcube Toolkit Used Against Ukrainian Government Targets

https://hunt.io/blog/operation-roundish-apt28-roundcube-exploitation

Report completeness: High

Actors/Campaigns:
Roundish
Fancy_bear
Roundpress

Threats:
Ligolo-ng_tool
Typosquatting_technique
Dead_drop_technique
Credential_harvesting_technique
Spypress
Metasploit_tool
Meterpreter_tool
Spear-phishing_technique

Victims:
Ukrainian state migration service, Government, Defense, Webmail users, Isp firewall configuration

Industry:
Telco, Government, Military

Geo:
Indian, Germany, Romanian, Russian, Ukrainian, Polish, Ukraine, Russia, India, French

TTPs:
Tactics: 7
Technics: 20

IOCs:
Domain: 5
IP: 5
File: 29
Url: 1
Email: 1
Hash: 2

Soft:
Roundcube, OpenSSH, Ubuntu, Firefox, Chrome, Linux, systemd, SELinux, MDaemon, Zimbra, have more...

Algorithms:
aes-gcm, base64, md5, sha256

Functions:
log_visit, is_credential_exists, genResponse, getChromeCredentialsAndSend, downd, eval, addressbook, btoa, addRedirectMailBox, getUserCredentials, have more...

Languages:
javascript, python, php, powershell

Links:
have more...
https://github.com/cgvwzq

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция Roundish раскрывает новые возможности APT28, ориентированные на платформу веб-почты Roundcube, используемую украинским правительством. Операция включает в себя сложный набор инструментов эксплуатации, включающий серверы управления, полезные нагрузки XSS и имплантат Go, позволяющий использовать передовые методы сбора учетных записей и эксфильтрации электронной почты. Ключевые функции включают скрытые поля автозаполнения для сбора учетных данных и C2 на базе Flask, который собирает данные при сохранении постоянного доступа, выявляя уязвимости в инфраструктурах веб-почты.
-----

Операция Roundish выявила новые возможности, используемые группой APT28, также известной как Fancy Bear, в частности, нацеленные на платформу веб-почты Roundcube, используемую украинскими государственными структурами. Исследователи обнаружили полный набор инструментов для эксплуатации через открытый каталог, содержащий различные компоненты, такие как серверы управления (C2), полезные нагрузки для межсайтовых сценариев (XSS) и имплантат на основе Go под названием "httd"..

Инструментарий особенно примечателен тем, что в нем используются передовые методы сбора учетных записей, постоянной пересылки электронной почты, массовой эксфильтрации электронной почты и извлечения секретов двухфакторной аутентификации (2FA). Он интегрирует метод внедрения CSS, обеспечивая атаку по побочному каналу для постепенного извлечения конфиденциальных данных без внедрения JavaScript в среду жертвы. Технология Roundish в значительной степени совпадает с предыдущими операциями APT28, включая операцию RoundPress, что усиливает оценку сплоченной общей линии разработки.

Среди своих усовершенствований Roundish использует скрытые поля автозаполнения для получения учетных данных из Менеджеров паролей браузера, демонстрируя глубокое понимание уязвимостей платформы веб-почты. Примечательно, что сервер C2 обеспечивает плавную эксфильтрацию конфиденциальной информации через выделенный адрес электронной почты, используя сетчатые фильтры на стороне сервера для избыточности, которые остаются активными, несмотря на возможные изменения в учетных данных учетной записи или серверной инфраструктуре.

Основные компоненты операции включают структуру C2 на основе Flask, которая не только размещает страницы фишинга, но и регистрирует взаимодействия посетителей, облегчая обширный сбор данных о целевых объектах. Ключевые компоненты включают модуль фишинга учетных данных, полезные нагрузки XSS, которые могут выполнять несколько операций одновременно при заражении, и механизмы для сохранения доступа через задания cron или Службы systemd в средах компрометации.

Кроме того, инструментарий выявляет уязвимости в кросс-платформенном управлении учетными данными и электронной почтой, что указывает на более широкую операционную стратегию, которая использует существующие слабые места в инфраструктурах веб-почты для поддержания постоянного доступа к конфиденциальным сообщениям и данным.

Постоянное внимание APT28 к цифровой инфраструктуре Украины подчеркивает важность мониторинга и защиты служб веб-почты как от фишинга, так и от последующих вредоносных действий. Организации должны применять надежные процедуры аудита Правил пересылки эл. почты, сетевые фильтры и другие механизмы безопасности, а также уделять особое внимание комплексным стратегиям информационной безопасности для эффективного предотвращения проникновения сложных целенаправленных угроз (APT).

#ParsedReport #CompletenessHigh
12-03-2026

Handala Hack Unveiling Groups Modus Operandi

https://research.checkpoint.com/2026/handala-hack-unveiling-groups-modus-operandi/

Report completeness: High

Actors/Campaigns:
Handala-hacking-team
Handala (motivation: propaganda)
Void_manticore
Scarred_manticore

Threats:
Supply_chain_technique
Handala_wiper
Karma
Netbird_tool
Adrecon_tool
Credential_dumping_technique

Victims:
Government, Telecom, It and service providers, Us organizations, Stryker

Industry:
Healthcare, Telco, Government

Geo:
Iranian, Iran, Palestinian, Albania, Israeli, Israel

TTPs:
Tactics: 7
Technics: 18

IOCs:
Command: 1
Path: 1
File: 6
IP: 4
Hash: 5

Soft:
Starlink, Windows Defender, Active Directory, VeraCrypt

Algorithms:
exhibit

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Handala Hack, связанный с иранским MOIS через злоумышленника Void Manticore, использует деструктивные стратегии удаления и взлома с утечкой информации, нацеленные на различные организации, включая американские фирмы. Их методы включают использование компрометации VPN для доступа, ручное перемещение внутри компании в основном через RDP и недавно интегрированное программное обеспечение для туннелирования NetBird для улучшения управления сетевым трафиком. Они используют Handala Wiper, состоящий из пользовательского исполняемого файла и сценария PowerShell для комплексного Уничтожения данных, наряду с методами сбора учетных записей, такими как сброс памяти из LSASS.
-----

Handala Hack, онлайн-персона, связанная с Министерством разведки и безопасности Ирана (MOIS) через злоумышленника Void Manticore, использует комбинацию разрушительных атак на удаление данных и стратегий взлома и утечки. У этого актора есть различные оперативные направления, включая Karma и Homeland Justice, причем в последнее время активность возросла и нацелена не только на Израиль и Албанию, но и на организации, базирующиеся в США, такие как медицинская технологическая фирма Stryker.

Тактика, методы и процедуры Handala Hack's (TTP) остаются особенно последовательными, уделяя особое внимание быстрому практическому взаимодействию в сетях жертв. Группа в значительной степени полагается на традиционные методы, такие как использование учетных данных для компрометации VPN для первоначального доступа и ручных операций для перемещения внутри компании, преимущественно используя Протокол удаленного рабочего стола (RDP). Значительное развитие включает в себя использование NetBird, программного обеспечения для туннелирования, для оптимизации трафика между сетями, способствующего более плавному перемещению внутри компании во время их атак. Кроме того, злоумышленник также включил в свой арсенал сценарий PowerShell с поддержкой искусственного интеллекта, чтобы повысить эффективность своих действий по удалению.

Во время своих атак Void Manticore использует несколько методов очистки одновременно, чтобы максимально увеличить Уничтожение данных. Основной инструмент разрушения, известный как Handala Wiper, работает с использованием двухкомпонентного подхода: пользовательского исполняемого файла и сценария PowerShell, оба из которых развертываются с использованием сценариев входа в групповую политику в сети компрометации. Эти компоненты активно перезаписывают и повреждают данные, используя методы очистки главной загрузочной записи (MBR), что значительно усложняет усилия по восстановлению. Последовательности событий обычно демонстрируют схему получения постоянного доступа за месяцы до совершения деструктивных действий с использованием методов разведки и сбора учетных записей.

Что касается кражи учетных данных, Handala Hack использует различные методы, включая методы сброса памяти в службу подсистемы управления локальной безопасностью (LSASS) и экспорт конфиденциальных данных реестра для защиты учетных данных администратора домена. Группа также известна снижением уровня операционной безопасности, иногда подключаясь напрямую с иранских IP-адресов вместо маршрутизации через установленные узлы VPN, что указывает на потенциальный сдвиг в их операционной дисциплине.

Во время разрушительных этапов, как отмечалось в конкретных инцидентах, операторы продемонстрировали универсальность, удалив виртуальные машины и файлы вручную в дополнение к своим автоматическим процессам очистки. Использование легального программного обеспечения, такого как VeraCrypt, для шифрования дисков усложняет методы их уничтожения, усложняя восстановление для жертв, даже если другие механизмы очистки не работают.

#ParsedReport #CompletenessMedium
13-03-2026

Unmasking SilverFoxs New Trends: Decoding Evasion Tactics, Domain Impersonation, and Mass-Generated Fake Software

https://medium.com/@knownsec404team/unmasking-silverfoxs-new-trends-decoding-evasion-tactics-domain-impersonation-and-8a7f03571186

Report completeness: Medium

Actors/Campaigns:
Silver_fox (motivation: information_theft)

Threats:
Gh0st_rat
Typosquatting_technique
Winos
Todesk_tool
Dns_tunneling_technique

Victims:
Government, Universities, Large enterprises, Financial institutions

Industry:
Government, Education, Financial

Geo:
China, Hong kong

ChatGPT TTPs:
do not use without manual check
T1027, T1036.003, T1041, T1056.001, T1059.007, T1105, T1113, T1204.001, T1562.001, T1566.002, have more...

IOCs:
Domain: 13
Url: 13

Soft:
WeChat, WhatsApp, DingTalk, Feishu, Telegram

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4