#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние данные свидетельствуют о появлении вредоносных пакетов PyPI, связанных с атаками на Цепочка поставок Mini Shai-Hulud, Miasma и Hades, при этом выявлено 23 новые версии, нацеленные на среды разработки, особенно в биоинформатике и ИИ. Техники атак включают выполнение встроенного вредоносного JavaScript через скомпилированные нативные расширения и использование механизма поиска загрузчика для уклонения от обнаружения. JavaScript- payload, нацеленный на конфиденциальную информацию в средах CI/CD, использует техники обфускации, напоминающие ВПО Hades, для уклонения от обнаружения.
-----

Ландшафт угроз, связанный с вредоносными пакетами Индекса пакетов Python (PyPI), недавно эволюционировал, о чем свидетельствуют новые данные, представленные исследовательской группой Socket Threat Research. В их число входит волна вредоносных пакетов PyPI, связанных с более масштабными атаками на Цепочка поставок Mini Shai-Hulud, Miasma и Hades. Эта новая волна выявляет 23 новые вредоносные версии пакетов, которые добавляются к ранее упомянутым 37, теперь затрагивая среды разработчиков через целевые темы, такие как биоинформатика, искусственный интеллект и пакеты конфигурации ВПО.

Техники атак существенно различаются среди вновь выявленных пакетов. Некоторые используют скомпилированные нативные расширения (в частности, файлы .abi3.so) для выполнения вредоносного JavaScript в момент импорта, обходя обнаружение, которое обычно проверяет исходный код Python. Заметные вариации включают пакет langchain-core-mcp, который проводит более сложный поиск своего вредоносного payload (_index.js) по пути поиска модулей Python (sys.path), в отличие от простого включения его в состав пакета.

JavaScript-код вредоносного payloads следует специфическому шаблону обфускации, связанному с вредоносным ПО Hades, и добавляет заголовок, содержащий вводящие в заблуждение комментарии, предназначенные для запутывания инструментов автоматического анализа, особенно тех, которые используют модели искусственного интеллекта. Payload нацелен на высокоценные секреты на рабочих станциях разработчиков и в средах непрерывной интеграции и развертывания (CI/CD), стремясь получить чувствительную информацию, такую как учетные данные облачных сервисов, SSH-ключи и токены реестров пакетов. Риск особенно высок в средах сборки и выпуска, где скомпрометированный токен может оказать серьезное воздействие на производственную инфраструктуру.

В рамках этой кампании выявлено три различных механизма доставки. Первый использует вредоносный установочный файл, который запускает JavaScript-код при запуске Python через .pth-хук. Второй метод предполагает выполнение функциональности, скрытой в скомпилированных нативных расширениях, что затрудняет обнаружение. Наконец, вариант langchain-core-mcp применяет подход поиска загрузчика: он ищет свой JavaScript-код, а не встраивает его напрямую, что может лучше обходить традиционные системы обнаружения.

Для снижения рисков, связанных с этими угрозами, организациям следует сосредоточиться на мониторинге своих сред на предмет таких проблем, как неожиданные исполняемые файлы .pth, нераспознанные JavaScript-полезные нагрузки и загрузки сред выполнения, таких как Bun. Кроме того, все открытые токены должны быть немедленно заменены, чтобы предотвратить несанкционированный доступ и атаки, консолидирующие оперативный контроль.

По мере того как кампания продолжает развиваться, поддержание бдительности и тщательной проверки зависимостей пакетов, особенно тех, которые связаны с биоинформатикой и искусственным интеллектом, является необходимым. Регулярные проверки сред CI/CD на предмет подозрительных изменений в рабочих процессах и доступности сокета Docker будут иметь решающее значение для смягчения потенциальных угроз, исходящих от этой продолжающейся атаки на Цепочку поставок.

#ParsedReport #CompletenessHigh
08-06-2026

AI brands as bait: How threat actors are using the AI hype in social engineering

https://www.microsoft.com/en-us/security/blog/2026/06/08/ai-brands-as-bait-how-threat-actors-are-using-the-ai-hype-in-social-engineering/

Report completeness: High

Actors/Campaigns:
Fox_tempest (motivation: financially_motivated)
Storm-3075 (motivation: financially_motivated)

Threats:
Aitm_technique
Credential_harvesting_technique
Vidar_stealer
Lumma_stealer
Hijackloader
Oyster
Fraudgpt_tool
Ghostsocks

Victims:
Higher education, Professional services, Information technology, Business entities, Financial services, Consumer endpoints

Industry:
Education

Geo:
France, United states, United kingdom, Switzerland, Africa, India, South africa, Japan, Austria

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1059.006, T1105, T1189, T1204.002, T1497.002, T1553.002, T1557, T1566.001, T1566.002, have more...

IOCs:
Domain: 6
File: 12
Hash: 8
Url: 3

Soft:
Microsoft Defender, Microsoft Defender for Endpoint, Microsoft Entra, ChatGPT, DeepSeek, Anthropic, Claude, GPT-5, Hugging Face, PT-5.5, have more...

Algorithms:
sha256, exhibit

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, windows: 5, code: 1, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Microsoft Threat Intelligence зафиксировала рост атак социальной инженерии с использованием искусственного интеллекта, при этом злоумышленники имитируют популярные платформы, такие как ChatGPT и Claude. Известные фишинговые схемы использовали поддельные уведомления и скомпрометированные легитимные URL-адреса для сбора конфиденциальной информации, в то время как кампании вредоносной рекламы применяли убедительные всплывающие окна для распространения ВПО, таких как Vidar Stealer, что затронуло множество конечных точек. Атакующие также создавали мошеннические репозитории, чтобы эксплуатировать интерес к искусственному интеллекту для распространения вредоносных загрузок, демонстрируя эволюцию их тактик.
-----

Согласно недавним наблюдениям Microsoft Threat Intelligence, злоумышленники демонстрируют стратегический сдвиг, всё чаще используя повышенный глобальный интерес к искусственному интеллекту (ИИ) в качестве средства социальной инженерии. Атаки в основном направлены на физических лиц и организации через кампании, имитирующие популярные платформы ИИ, такие как ChatGPT и Claude. Эти вредоносные активности включают широкий спектр тактик, включая фишинг, вредоносную рекламу и атаки с использованием поисковой оптимизации, направленные на кражу учетных данных, совершение финансовых мошенничеств или развертывание ВПО.

Заметная фишинговая схема, обнаруженная 5 мая 2026 года, использовала приманку на тему ChatGPT, нацеленную на пользователей путем отправки писем, маскирующихся под срочные уведомления, связанные с обновлениями оплаты подписки. Злоумышленники отправили примерно 4 500 писем в Южную Африку и до 100 000 за один день, направляя получателей через серию легитимных URL-адресов для последующего перехода на скомпрометированный сайт, где им предлагалось ввести конфиденциальные личные и финансовые данные. Использование легитимных перенаправляющих звеньев было тактикой для обхода обнаружения почтовыми фильтрами и отслеживания взаимодействия с жертвами.

Более того, с 20 по 22 апреля 2026 года отдельная кампания эксплуатировала процессы аутентификации путем имперсонации сервисов, связанных с платформой Anthropic Claude. Письма, отправленные более чем 2 000 организациям, утверждали о нарушениях учетных записей, побуждая пользователей нажимать на вложения, которые инициировали процесс сбора учетных записей, приводящий к компрометации учетных записей и утечке токенов доступа. Подобно предыдущим атакам, эта кампания опиралась на поддельные коммуникации, чтобы ввести пользователей в заблуждение и заставить их предоставить конфиденциальные учетные данные.

Кампании вредоносной рекламы также были зафиксированы под псевдонимом Storm-3075, где в всплывающих окнах и установках ВПО, затронувших десятки тысяч конечных точек, использовались такие термины, как "Awesome AI Windows Plugin". Vidar Stealer, среди других полезной нагрузки, распространялся через хорошо подписанное ВПО, что придавало ему видимость легитимности, обеспечивая более широкое распространение до обнаружения. Эта кампания продемонстрировала тактическую эволюцию в развертывании ВПО с использованием категоризированных имен исполняемых файлов и вредоносной рекламы.

В другом случае в апреле 2026 года была выявлена атака с использованием поддельных установщиков DeepSeek V4. Злоумышленники создали мошеннический репозиторий на GitHub, который использовал ажиотаж вокруг недавнего выпуска DeepSeek AI. Этот репозиторий содержал вредоносные payloads, замаскированные под легитимные ссылки для загрузки, что в конечном итоге приводило к установке Vidar Stealer. Инфраструктура репозитория была спроектирована для повышения обнаруживаемости с помощью тактик SEO, демонстрируя скоординированную атаку, обеспечивающую быстрое заражение жертв.

#ParsedReport #CompletenessMedium
08-06-2026

From Fake Amazon Security Alert to HarborWatch Agent: ClickFix Delivery of a Custom Monitoring RAT

https://cofense.com/blog/from-fake-amazon-security-alert-to-harborwatch-agent-clickfix-delivery-of-a-custom-monitoring-rat

Report completeness: Medium

Threats:
Harborwatch
Clickfix_technique

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1059.001, T1071.001, T1082, T1105, T1140, T1204.004, T1564.003, T1566.002, have more...

IOCs:
Email: 1
Domain: 2
Command: 1
Url: 5
IP: 3
Hash: 3

Soft:
mysql

Algorithms:
base64, sha256, md5

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинговая кампания использовала домен-омофон amazonattention.com для распространения пользовательской Троянской программы (RAT) под названием HarborWatch Agent. Атака включала социальную инженерию для обмана пользователей с целью выполнения вредоносных команд PowerShell, которые загружали ВПО с сервера управления. HarborWatch Agent способен собирать конфиденциальную информацию о системе и отправлять её обратно на сервер управления, что демонстрирует сдвиг в сторону тактик, эксплуатирующих действия пользователей, а не традиционные вложения.
-----

В ходе недавней фишинговой кампании злоумышленники использовали доверие, связанное с Amazon, применяя тактики социальной инженерии и домен-двойник amazonattention.com для распространения пользовательской Троянской программы для удаленного доступа (RAT) под названием HarborWatch Agent. Атака использовала сфабрикованное предупреждение безопасности, которое побуждало пользователей участвовать в том, что выглядело как стандартный процесс проверки учетной записи, что в конечном итоге привело к их самоинфицированию.

При нажатии кнопки «Verify Account Information» пользователи перенаправлялись на страницу, имитирующую проверку CAPTCHA. Однако вместо стандартного CAPTCHA-задания сайт инструктировал жертв выполнить вредоносные команды на их локальных системах. Вредоносные команды были хитро замаскированы под безобидный текст, вводя пользователей в заблуждение и заставляя их вставлять команду PowerShell из буфера обмена в диалоговое окно «Выполнить» (Run) в Windows. Эта команда, скрытая под фразой «I am not a robot», активировала PowerShell в скрытом режиме и запускала вредоносный скрипт.

Данный скрипт впоследствии загрузил файл с именем mysql.exe с сервера управления (C2), расположенного по адресу hxps://zoomupdate.b-cdn.net/mysql.exe, в папку App Data Local Temp для удобства сокрытия. Процесс mysql.exe был идентифицирован как HarborWatch Agent после анализа, который выявил его сетевые коммуникации с IP-адресом (185.193.127.44), выступающим в роли сервера управления. Этот сервер использовался для выдачи команд и эксфильтрации системной информации. Вредоносное ПО использовало конечные точки API, такие как /api/agent/tasks/ и /api/heartbeat, для получения команд и сбора данных об зараженной системе.

Анализ памяти показал, что агент HarborWatch собирал конфиденциальные данные, такие как версия операционной системы, имя хоста, количество процессоров и использование памяти, передавая эту информацию обратно на сервер C2. Дальнейшее исследование инфраструктуры C2 выявило панель входа администратора, доступную через веб-браузер, которая была оформлена с элементами китайского языка, напоминающими «Harbor Sentinel». Этот веб-интерфейс был предназначен для злоумышленников, чтобы они могли отслеживать зараженные системы, что отражает двойную функциональность ВПО.

Агент HarborWatch демонстрирует сдвиг в тактиках фишинга, переходя от традиционных методов доставки с использованием вложений к стратегиям, которые заставляют пользователей самостоятельно выполнять вредоносные команды. Этот метод усложняет усилия по обнаружению, поскольку характер заражения, вызванного самим пользователем, может скрыть его присутствие от решений безопасности. В связи с этим организациям рекомендуется усилить свою защиту от этих эволюционирующих техник фишинга.

#ParsedReport #CompletenessLow
10-06-2026

FIFA World Cup 2026 Scams Are Already Active: Fake Domains, Phishing Sites, and How to Stay Safe

https://cyble.com/blog/fifa-world-cup-2026-scams/

Report completeness: Low

Threats:
Typosquatting_technique

Victims:
Ticket buyers, Job seekers, Streaming viewers, Corporate brands, Travel, Hospitality, Ticketing, Media

Industry:
Foodtech, Financial, Entertainment, Government

Geo:
Mexico, United states, Canada

ChatGPT TTPs:
do not use without manual check
T1583.001, T1657

IOCs:
Domain: 36
Url: 1
IP: 3

Soft:
WhatsApp

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
По мере приближения Чемпионата мира по футболу 2026 года киберпреступники используют тайпсквоттинг для создания мошеннических сайтов, имитирующих домены, связанные с ФИФА, с целью кражи персональных и финансовых данных у покупателей билетов, соискателей работы и зрителей потоковых трансляций. Заметными примерами являются домены, такие как ww-fifa.com, которые тесно напоминают официальные сайты. Рост таких мошеннических схем указывает на непрерывный цикл злонамеренной активности, при этом особое внимание уделяется поддельным порталам для найма и платформам потокового вещания для эксплуатации видимости этого мероприятия.
-----

С началом Чемпионата мира по футболу 2026 года активность киберпреступников возросла, при этом они нацелены на различные группы заинтересованных сторон, такие как покупатели билетов, соискатели работы и зрители потоковых трансляций. Федеральное бюро расследований (FBI) выпустило Общественное информационное сообщение, в котором подчеркивается рост мошеннических веб-сайтов, созданных для имитации доменов, связанных с ФИФА. Эти поддельные сайты предназначены для сбора личной информации и осуществления финансового мошенничества, связанного с продажей билетов, гостиничными пакетами и вакансиями.

Основной техникой атаки, используемой этими киберпреступниками, является тайпсквоттинг. Они регистрируют домены-двойники, которые визуально имитируют легитимные, часто посредством незначительных изменений в написании или использования альтернативных доменных зон. Эта обманная практика направлена на то, чтобы ввести пользователей в заблуждение, заставив их поверить, что они находятся на официальном сайте ФИФА. Например, одним из распространенных вариантов, выявленных исследователями, стал домен ww-fifa.com, в котором из легитимного URL-адреса удалена одна буква «w», при этом ресурс позиционируется как официальный портал с подлинным турнирным брендингом и вводящими в заблуждение предложениями.

Исследователи Cyble отметили, что многие из этих мошеннических доменов всё ещё работают и постоянно заменяются, даже когда предыдущие блокируются. Это указывает на непрерывный цикл злонамеренной активности и подчеркивает агрессивные тактики, используемые злоумышленниками, которые извлекают выгоду из огромной глобальной видимости Чемпионата мира. Кроме того, анализ безопасности доменов, связанных с ФИФА, показал различные классификации вредоносного поведения, при этом ожидается значительный рост по мере того, как больше пользователей будут взаимодействовать с этими мошенническими сайтами.

Помимо нацеливания на покупателей билетов, мошенники также создали поддельные порталы для поиска работы, такие как fifaworldcup-careers.com, ориентированные на соискателей. Эти схемы эксплуатируют людей, активно ищущих работу, побуждая их предоставлять конфиденциальную личную информацию под видом законных процессов найма. Учитывая повышенную уязвимость соискателей по сравнению с обычными покупателями билетов, этот сегмент стал ключевой целью для мошенничества.

По мере приближения турнира ожидается также распространение мошеннических платформ для потоковой передачи. Эти сайты будут использовать высокий спрос на доступ к матчам, особенно в регионах, где официальные трансляции менее доступны или обходятся дороже. Эксперты по кибербезопасности подчеркивают важность бдительности — избегать несанкционированных ссылок на потоковую передачу и проводить должную проверку перед совершением любой покупки или предоставлением личных данных в интернете.

Ландшафт динамичен, и в период Чемпионата мира по футболу могут появиться новые мошеннические домены. Пользователям рекомендуется проявлять осторожность, а организациям, связанным с этим мероприятием, следует внедрить проактивные меры для защиты своих брендов от фишинговых атак и попыток Имперсонация. Подчеркивается важность бдительности и проверки любых транзакций, связанных с FIFA, через официальные каналы, чтобы снизить риски, связанные с этими все более изощренными мошенническими схемами.

#ParsedReport #CompletenessMedium
10-06-2026

Cato CTRL™ Threat Research: From Fiscal Lures to Remote Access, A Previously Undocumented NinjaOne RMM Abuse Chain

https://www.catonetworks.com/blog/cato-ctrl-previously-undocumented-ninjaone-rmm-abuse-chain/

Report completeness: Medium

Threats:
Ninjaone_tool
Venomrat
Spear-phishing_technique

Victims:
Brazilian organizations, Chemicals and advanced materials

Industry:
Financial, Chemical, Logistic

Geo:
Brazil, Portuguese, Brazilian, Americas

TTPs:
Tactics: 5
Technics: 9

IOCs:
Domain: 6

Soft:
Selenium, PhantomJS

Languages:
javascript, rust

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, windows: 4, code: 7, table: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи Cato CTRL выявили фишинговую кампанию, направленную против бразильских организаций, особенно в секторах химической промышленности и передовых материалов, которая заманивает жертв поддельными деловыми документами, ведущими к установке агента NinjaOne Remote Monitoring and Management (RMM). Злоумышленники используют знакомые деловые практики и разрабатывают фишинговые письма, которые направляют пользователей на обманные португалоязычные целевые страницы, похожие на доверенные порталы. Кампания демонстрирует использование легитимного программного обеспечения для несанкционированного удаленного доступа, опираясь на социальную инженерию и техники антианализа для повышения эффективности и снижения обнаружения.
-----

Фишинговая кампания направлена против бразильских организаций, особенно в таких секторах, как химическая промышленность и передовые материалы.

В рамках кампании используются приманки в виде поддельных бизнес-документов для установки легитимного агента NinjaOne Remote Monitoring and Management (RMM).

Фишинговые письма перенаправляют пользователей на португалоязычные целевые страницы, имитирующие доверенные порталы для безопасной доставки документов.

Ссылки в фишинговых письмах скрыты за маршрутом перенаправления на основе Googleusercontent, что усложняет усилия по отслеживанию.

Жертв перенаправляют на порталы, ссылающиеся на широко известные бразильские сервисы, связанные с налоговыми документами и жалобами клиентов.

Агент NinjaOne RMM замаскирован под загрузку документа, но вместо этого устанавливает установщик, предоставляющий злоумышленникам удаленный доступ.

Атакующие демонстрируют глубокое понимание бразильской бизнес-культуры, согласуя свою фишинговую стратегию с ожидаемыми профессиональными активностями.

Инфраструктура включает функции противодействия анализу, такие как сбор отпечатков браузера и геофенсинг, для целевой работы только с IP-адресами из Бразилии.

Различные фишинг-опыты, основанные на IP-локации, могут дополнительно защитить операцию от анализа.

Существуют потенциальные связи с ранее наблюдаемыми активностями, связанными с RAT Venon, что указывает на использование общих ресурсов в бразильском ландшафте киберкриминала.

Кампания подчеркивает риски, связанные с злоупотреблением легитимными инструментами, такими как NinjaOne, что перекликается с предупреждениями организаций в области кибербезопасности относительно неправомерного использования платформ удаленного управления.

Атака иллюстрирует тенденцию к использованию социальной инженерии и легитимного программного обеспечения, а не развертывания традиционного ВПО для несанкционированного удаленного доступа.

#ParsedReport #CompletenessLow
09-06-2026

Residential Proxies in the Wild

https://www.infoblox.com/blog/threat-intelligence/residential-proxies-in-the-wild/

Report completeness: Low

Threats:
Residential_proxy_technique
Kimwolf
Ipidea

Victims:
Enterprise, Pharmaceutical, Food and beverage, Government, Banking, Education, Electronics, Industrial, Healthcare

Industry:
Financial, Healthcare, Iot, Media, Energy, Government, Foodtech, Education, Software_development

ChatGPT TTPs:
do not use without manual check
T1046, T1090, T1176, T1496

IOCs:
Domain: 1

Soft:
Android

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, chart: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Растущее использование домашних прокси-серверов в корпоративных сетях создает значительные риски для безопасности, поскольку более 65% клиентов Infoblox Threat Defense Cloud взаимодействовали с такими доменами, что усложняет атрибуцию и может нанести ущерб репутации. Злоумышленники используют эти прокси-серверы для уклонения от обнаружения при совершении вредоносных действий, которые трудно отличить от легитимного трафика. Растущий спрос, особенно на веб-скрапинг, усугубляет проблему, при этом наблюдаются заметные всплески DNS-запросов, связанных с этими прокси-серверами, на фоне опасений по поводу несанкционированных сервисов, проникающих в различные сектора.
-----

Распространение домашних прокси-серверов в корпоративных сетях становится все более тревожным, о чем свидетельствуют данные Infoblox, согласно которым более 65% клиентов Threat Defense Cloud взаимодействовали с доменами, связанными с сетями домашних прокси-серверов. Широкое использование таких прокси-серверов вызывает серьезные опасения в отношении безопасности сети и усилий по реагированию на инциденты, поскольку злоупотребления, совершаемые через домашние прокси-серверы, могут вовлекать невиновные организации в качестве злоумышленников, усложняя процесс атрибуции и нанося потенциальный ущерб репутации.

Резидентские прокси, которые перенаправляют интернет-трафик через устройства обычных потребителей, позволяют злоумышленникам избегать систем репутации IP-адресов и обходить меры обнаружения мошенничества. Такие прокси создают «отмытый» трафик, который может снижать количество предупреждений безопасности, поскольку вредоносные действия смешиваются с легитимной деятельностью потребителей. Многие прокси могут устанавливаться без согласия, часто встроенные в приложения или устройства без ведома пользователя, что аналогично криптоджекингу, при котором компрометируется пропускная способность и пространство IP-адресов, а не вычислительные мощности.

Анализ DNS-трафика от Infoblox указывает на устойчивый рост запросов к доменам резидентных прокси, увеличившийся более чем на 25% с января 2025 года по апрель 2026 года. Этот всплеск частично объясняется растущим спросом, обусловленным веб-скрапингом для обучения моделей искусственного интеллекта, где резидентные прокси предпочтительны из-за их способности к Имперсонация реального пользовательского трафика. Примечательно, что инцидент с отключением сервиса IPIDEA в январе 2026 года сопровождался значительным ростом на 265% числа затронутых клиентских сетей, что свидетельствует об усилении активности и потенциальном хаосе в экосистеме прокси.

Анализ Infoblox подчеркивает растущее влияние крупных провайдеров домашних прокси-серверов, при этом такие сервисы, как Brightdata и Oxylabs, доминируют на рынке, а другие, такие как Hola и Honeygain, встраивают прокси-функциональность в бесплатные приложения. В различных отраслях растут опасения, поскольку более 90% организаций в фармацевтическом секторе и секторе продуктов питания и напитков, а также более 60% в банковском и государственном секторах взаимодействовали с этими несанкционированными сервисами. Такое широкое распространение требует стратегического подхода со стороны организаций, склонных к минимизации рисков; рекомендуется внедрять Защитный DNS для мониторинга и блокировки этих прокси-серверов в сетях, а также проводить тщательные оценки журналов DNS-запросов и установленных приложений.

В конечном итоге, в отчете подчеркивается насущная необходимость повышения видимости и принятия проактивных мер для снижения рисков, связанных с использованием резидентных прокси-серверов, поскольку их присутствие может быть не столь безобидным, как кажется, и часто находится в серой зоне с точки зрения этического использования и потенциально злонамеренных намерений.

#ParsedReport #CompletenessLow
10-06-2026

APT-C-08 (Manlinghua) Recent Phishing Attack Campaign Analysis

https://www.ctfiot.com/310428.html

Report completeness: Low

Actors/Campaigns:
Bitter

Threats:
Steganography_technique

Victims:
Government, Defense, Education, Foreign affairs, Enterprises

Industry:
Government, Education, Military

Geo:
Asia, Asian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027.003, T1059.005, T1105, T1566.002

IOCs:
Hash: 1
File: 2
IP: 1

Soft:
LiteSpeed

Algorithms:
zip, md5

#ParsedReport #GeneratedSchema
Generated with GPT-4