CTT Report Hub
3.39K subscribers
9.57K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
CTT Report Hub
#ParsedReport #CompletenessMedium 19-06-2026 Threat Actors Weaponizing RAR Archives to Target Thailand’s Healthcare Sector https://www.seqrite.com/blog/threat-actors-weaponizing-rar-archives-to-target-thailands-healthcare-sector/ Report completeness: Medium…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Выявлена целевая вредоносная кампания, направленная на сектор здравоохранения Таиланда, использующая Целевой фишинг с вредоносными RAR-архивами, содержащими зашифрованные пакетные скрипты и исполняемые полезной нагрузки. Атака использует многослойную цепочку заражения, при которой полезная нагрузка загружается с GitHub, применяя основанный на Python стиллер под названием "sim.py", предназначенный для эксфильтрации учетных данных. Этот сложный подход демонстрирует детальную разведку рабочих процессов здравоохранения, с потенциалом для персистентного заражения и кражи данных.
-----

Целевая вредоносная кампания направлена на сектор здравоохранения Таиланда, включая персонал Министерства здравоохранения.

Злоумышленники используют атаки целевого фишинга с тематикой здравоохранения, содержащие вредоносные RAR-архивы с зашифрованными пакетными скриптами и исполняемыми полезными нагрузками.

Цепочка заражения включает несколько уровней обфускации и использует GitHub для доставки полезной нагрузки.

Вредоносное ПО для кражи информации используется для поддержания foothold в целевых средах, избегая обнаружения.

Приманки для целевого фишинга адаптированы под конкретные роли в системе здравоохранения, что указывает на значительную разведку.

ВПО доставляется из территории Таиланда с использованием локальной инфраструктуры для размещения, при этом применяется согласованная цепочка выполнения.

Первоначальный механизм доставки — вредоносный архив RAR, содержащий зашифрованный пакетный файл в качестве загрузчика первого этапа.

Один из обнаруженных пакетных файлов называется "Health_Ministry_Approved_Equipment_2026.bat", который создает временный файл и использует PowerShell для декодирования полезной нагрузки.

Этот слой обфускации маскирует функциональность полезной нагрузки для снижения эффективности статического анализа.

Последующие этапы используют пакетный загрузчик, обфусцированный с помощью Rouki, для загрузки и выполнения дополнительных компонентов вредоносного ПО с GitHub.

Среда выполнения позволяет осуществлять персистентное заражение с помощью скрипта, который загружает и выполняет дополнительный полезный груз, не требующий повышенных привилегий.

Финальный полезный груз представляет собой Python-скрипт с именем "sim.py", который функционирует как информационный стиллер.

При активации «sim.py» пытается завершить работу веб-браузеров для доступа к хранилищам учётных данных и артефактам сессий.

Были зафиксированы неудачные попытки эксфильтрации данных из-за проблем с подключением, однако вредоносное ПО демонстрирует характеристики, типичные для современных Python-информационных стилировщиков.

Кампания использует Телеграм для эксфильтрации данных.
#ParsedReport #CompletenessMedium
17-06-2026

Chinese-speaking Operators Clone FIFA's World Cup 2026 Ticketing Site To Steal Fan Logins and Card Data

https://hunt.io/blog/fifa-world-cup-2026-ticket-phishing-kit

Report completeness: Medium

Actors/Campaigns:
Ghost_stadium

Threats:
Credential_harvesting_technique

Victims:
Football fans, Fifa world cup ticket buyers

Industry:
Entertainment, Transport, Financial

Geo:
Chinese, German

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1056.003, T1583.001, T1583.004, T1656

IOCs:
File: 7
Domain: 44
IP: 3

Soft:
nginx, Alibaba Cloud, HiChina, GoDaddy

Languages:
javascript
CTT Report Hub
#ParsedReport #CompletenessMedium 17-06-2026 Chinese-speaking Operators Clone FIFA's World Cup 2026 Ticketing Site To Steal Fan Logins and Card Data https://hunt.io/blog/fifa-world-cup-2026-ticket-phishing-kit Report completeness: Medium Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания фишинга, связанная с Чемпионатом мира по футболу 2026 года и известная как GHOST STADIUM, включает операторов, говорящих на китайском языке, которые клонируют официальный сайт продажи билетов для сбора учетных данных для входа и платежной информации у жертв, используя недорогие домены-двойники. Эти сайты демонстрируют технические сходства, применяя измененную структуру файлов с известными путями сборки React и общими артефактами, что облегчает обнаружение. Операция выглядит скоординированной, используя инфраструктуру, ориентированную на китайских клиентов, что указывает на сеть, сфокусированную на финансовой выгоде и перепродаже данных.
-----

Текущая фишинговая кампания, связанная с продажей билетов на Чемпионат мира по футболу 2026 года, характеризуется операторами, говорящими на китайском языке, которые скопировали официальный сайт продажи билетов, чтобы обмануть болельщиков и заставить их предоставить свои учетные данные для входа и платежные реквизиты. Эта операция, известная как GHOST STADIUM, использует массовый подход вместо сложных методов, полагаясь на клонированный контент с легитимного сайта FIFA, размещенный на множестве недорогих доменов-двойников. Идентичность этих клонов делает их визуально убедительными, но также придает им общую цифровую подпись, которую можно использовать для обнаружения и отслеживания.

Злоумышленники, стоящие за этой кампанией, стремятся собирать ценную информацию у жертв, включая учетные данные учетных записей FIFA, данные платежных карт, персональные данные и другие конфиденциальные данные в ходе, по-видимому, легитимных транзакций. Индикаторы указывают на то, что эта деятельность сильно локализована, о чем свидетельствуют наличие комментариев на упрощенном китайском языке в коде, использование фреймворк пользовательского интерфейса на китайском языке (Layui) и целевая регистрация через китайских регистраторов доменных имен. Кроме того, общая инфраструктура между различными доменами указывает на скоординированный операционный контроль, а не на изолированные фишинговые атаки.

С точки зрения технической обнаружения, фишинговые сайты работают на основе модифицированной структуры файлов; например, они предоставляют код через повторно размещенную сборку React, расположенную по пути /fifa/, который не используется официальным сайтом. Эта общая разделяемая инфраструктура, с определенными постоянными артефактами, такими как единый favicon и определенные оператором скрипты, создает устойчивые маркеры для отслеживания операции. Эти специфические сигнатуры обеспечивают прочную основу для выявления и поиска широкого спектра мошеннических доменов, появившихся в результате этой кампании.

Расследование также указывает на конкретную хостинг-инфраструктуру, связанную с организацией, которая обслуживает преимущественно китайских клиентов. Подозрительные IP-адреса и идентификаторы автономных систем (ASN) серверов, а также паттерны регистрации доменов дополнительно подтверждают утверждение о наличии скоординированной криминальной сети, действующей на китайском языке. Такая операционная схема направлена не только на получение немедленной финансовой выгоды через потребительское мошенничество, но и на извлечение вторичной прибыли за счет перепродажи украденных данных на подпольных рынках.

Для адекватного противодействия таким угрозам команды безопасности и охоты за угрозами должны сосредоточиться на структурных элементах наборов инструментов, используемых в этих атаках, а не на динамических значениях, подверженных частым изменениям. Эффективные стратегии включают блокировку подтвержденных фишинговых доменов на различных уровнях сетевой безопасности и непрерывный мониторинг новых регистраций доменов, связанных с этой мошеннической деятельностью. Учитывая срочность, связанную с продажей билетов, эти фишинговые домены часто могут казаться жертвам легитимными, что подчеркивает необходимость повышенной осведомленности и технической бдительности в выявлении и нейтрализации таких угроз.
#ParsedReport #CompletenessMedium
19-06-2026

Microsoft Teams-Themed Remote Access Phishing Campaign

https://www.cyfirma.com/research/microsoft-teams-themed-remote-access-phishing-campaign/

Report completeness: Medium

Threats:
Credential_harvesting_technique
Spear-phishing_technique

Victims:
Small businesses, Cafes, Pubs, Hotels, Sports shops, Law firms, Medical practices, Schools, Tour companies, Motor dealerships, have more...

Industry:
Financial, Healthcare

Geo:
Syria, Turkey, India, Brazil, Malaysia, Russia, Mexico, Tanzania

TTPs:
Tactics: 7
Technics: 12

IOCs:
File: 8

Soft:
Microsoft Teams, Windows Installer, Windows Service, Windows authentication, Windows security, Component Object Model, indows Installer

Algorithms:
exhibit

Platforms:
x86

SIGMA: Found
CTT Report Hub
#ParsedReport #CompletenessMedium 19-06-2026 Microsoft Teams-Themed Remote Access Phishing Campaign https://www.cyfirma.com/research/microsoft-teams-themed-remote-access-phishing-campaign/ Report completeness: Medium Threats: Credential_harvesting_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинговая кампания использует приманки в виде Microsoft Teams для распространения инструмента удаленного доступа, обманывая жертв и заставляя их скачивать его через обманные целевые страницы, имитирующие легитимные сервисы. Первоначальный доступ осуществляется через фишинговые письма, которые направляют пользователей на мошеннические сайты, побуждая скачивать программное обеспечение, обеспечивающее постоянный доступ путем создания служб Windows и интеграции с локальным механизмом безопасности для сбора учетных данных. Операция демонстрирует эволюцию фишинговых тактик, используя доверенные домены и скомпрометированные сайты для минимизации обнаружения, с потенциальным будущим расширением на другие платформы для совместной работы.
-----

Фишинговая кампания использует приманки в стиле Microsoft Teams для распространения инструмента удалённого доступа с целью несанкционированного доступа к системам.

Жертв перенаправляют на обманные целевые страницы, имитирующие легитимные сервисы для совместной работы, что побуждает их загрузить программное обеспечение, замаскированное под просмотрщик стенограммы совещаний.

Кампания использует социальную инженерию через срочные сообщения для повышения вовлеченности и применяет доверенное программное обеспечение для уклонения от обнаружения.

Первоначальный доступ осуществляется с помощью фишинговых писем, использующих Маскировку под уведомления Microsoft Teams.

Жертвы, кликнувшие по ссылке, перенаправляются на поддельный сайт, который побуждает их загрузить подписанный установщик инструмента удалённого доступа.

Скомпрометированные легитимные веб-сайты, часто принадлежащие малому бизнесу, служат начальным вектором компрометации из-за слабых позиций в области безопасности.

Инструмент удалённого доступа обеспечивает закрепление путём создания Службы Windows для автоматического запуска при загрузке и имеет механизм выживания в Безопасном режиме для поддержания доступа во время устранения неполадок.

Он регистрируется как пользовательский провайдер учетных данных в системе аутентификации Windows для сбора учетных данных и интегрируется с локальным центром безопасности (LSA) для захвата учетных данных.

Кампания сочетает доверенные облачные сервисы с скомпрометированными сайтами и легитимным программным обеспечением, что значительно снижает уровень обнаружения.

В будущем операции могут быть расширены на другие сервисы совместной работы и адаптированы к локальным языкам и конкретным ролям пользователей.

Организациям рекомендуется усиливать защиту с помощью поведенческого обнаружения и аутентификации, устойчивой к фишингу, а не полагаться исключительно на статические методы.

Кампания представляет собой зрелую угрозу, ориентированную на закрепление, сбор учетных записей и гибкую инфраструктуру.
#ParsedReport #CompletenessLow
16-06-2026

Threat Intelligence Report: Russia, Router, DNS, and Messaging-Layer Collection Operations

https://dti.domaintools.com/research/threat-intelligence-report-russia-router-dns-and-messaging-layer-collection-operations

Report completeness: Low

Actors/Campaigns:
Fancy_bear
Seaborgium

Threats:
Dns_hijacking_technique
Aitm_technique
Spear-phishing_technique

Victims:
Government, Defense, Critical infrastructure, Diplomatic organizations, Media, Non governmental organizations, Ukraine related organizations, Military personnel, Government officials, Politicians, have more...

Industry:
Critical_infrastructure, Military, Ngo, Government, Energy, Telco

Geo:
Ukrainian, Russia, Russian, Ukraine

TTPs:
Tactics: 11
Technics: 30

Soft:
WhatsApp, Telegram, Outlook
CTT Report Hub
#ParsedReport #CompletenessLow 16-06-2026 Threat Intelligence Report: Russia, Router, DNS, and Messaging-Layer Collection Operations https://dti.domaintools.com/research/threat-intelligence-report-russia-router-dns-and-messaging-layer-collection-operations…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Российские разведывательные агентства всё чаще используют тактики сбора данных на уровне коммуникаций, в частности, через компрометацию уязвимых маршрутизаторов малого офиса/домашнего офиса (SOHO) для перехвата DNS и фишинга защищённых платформ обмена сообщениями. В частности, APT28 или Fancy Bear эксплуатирует настройки DNS и DHCP для проведения атак «противник посередине», перехватывая конфиденциальные данные без использования традиционного ВПО. Эволюция их фишинговых кампаний, использующих злоупотребление QR-кодами и эксплуатацию OAuth, позволяет им вести наблюдение за разговорами на таких платформах, как Signal, WhatsApp и Microsoft 365, фокусируясь как на широких, так и на высокоценных целях.
-----

Российские разведывательные агентства сосредоточены на методах сбора данных на уровне коммуникаций.

Они компрометируют уязвимые маршрутизаторы малого офиса/домашнего офиса (SOHO) для выполнения перехвата DNS.

Против платформ защищённого обмена сообщениями применяются техники фишинга.

Целями являются государственные, военные, инфраструктурные и медиа-организации, связанные с Украиной.

APT28, также известная как Fancy Bear, ответственна за компрометацию SOHO-маршрутизаторов.

Акторы манипулируют настройками DNS и DHCP для атак «злоумышленник посередине» (adversary-in-the-middle).

Это позволяет осуществлять мониторинг и перенаправление пользовательского трафика, а также перехватывать конфиденциальные учетные данные.

Цель заключается в получении постоянного доступа к коммуникациям, представляющим ценность для российских интересов.

Фишинговые кампании расширились и теперь включают WhatsApp, Телеграм и Microsoft 365.

Такие методы, как злоупотребление QR-кодами и эксплуатация потока OAuth, используются для проникновения в мессенджеры.

Акторы используют существующие доверительные отношения для картирования социальных сетей.

Жертвы делятся на две группы: безразборчивая компрометация для широкого доступа к разведывательным данным и высокоценные цели для критически важных разговоров.

Операции в 2026 году были направлены на тысячи маршрутизаторов по всему миру.

Методы кражи учётных данных облегчают эксплуатацию значимых учётных записей.

Технический подход включает перенаправление жертв на контролируемые Россией DNS-резолверы.

Это позволяет осуществлять наблюдение за трафиком и селективную целевую работу с пользователями.

Существует риск перехвата TLS через поддельные DNS-ответы.

Платформы обмена сообщениями подверглись значительным атакам, что позволило осуществлять чтение и имперсонацию в режиме реального времени.

Угроза остается острой для стратегически важных секторов, таких как оборона, энергетика и гуманитарные контексты.

Устройства персональной и домашней сети, а также приложения для связи теперь могут быть потенциальными векторами киберопераций.
#ParsedReport #CompletenessMedium
19-06-2026

Inside the FortiBleed Open Directory: A Technical Analysis of What the Attacker Left Behind

https://www.cloudsek.com/blog/inside-the-fortibleed-open-directory-a-technical-analysis-of-what-the-attacker-left-behind

Report completeness: Medium

Actors/Campaigns:
Fortibleed

Threats:
Impacket_tool
Password_spray_technique
Credential_harvesting_technique

Victims:
Telecommunications, Internet service providers, Organisations running exposed fortios management interfaces

Industry:
Telco

Geo:
United states, India, Mexico, Taiwan, Colombia, Turkey, Asia

ChatGPT TTPs:
do not use without manual check
T1040, T1078, T1087.002, T1110, T1110.002, T1110.003, T1110.004, T1133, T1135, T1552, have more...

IOCs:
File: 11
IP: 9

Soft:
Telegram, Active Directory

Algorithms:
pbkdf2, sha256
CTT Report Hub
#ParsedReport #CompletenessMedium 19-06-2026 Inside the FortiBleed Open Directory: A Technical Analysis of What the Attacker Left Behind https://www.cloudsek.com/blog/inside-the-fortibleed-open-directory-a-technical-analysis-of-what-the-attacker-left-behind…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
FortiBleed — это кампания по компрометации учётных данных, нацеленная на межсетевые экраны Fortinet FortiGate и шлюзы SSL VPN через повторное использование учётных данных, брутфорс-атаки и офлайн-взлом хешей, эксплуатируя экспонированные интерфейсы управления. Злоумышленники собирают данные учётных данных, включая устаревшие хеши salted-SHA256 и PBKDF2, и используют продвинутые техники для захвата данных предварительной аутентификации Kerberos, раскрывая домены Active Directory. Кампания затрагивает множество устройств по всему миру, при этом наибольшее воздействие наблюдается в Индии, что предполагает широкий подход к сканированию уязвимостей, а не сфокусированную атаку.
-----

FortiBleed — это кампания по компрометации учетных данных, нацеленная на межсетевые экраны Fortinet FortiGate и шлюзы SSL VPN.

Это не уязвимость программного обеспечения или эксплойт нулевого дня; это результат повторного использования учётных данных, атак брутфорс и офлайн-взлома хешей.

Атакующие используют скрипты и инструменты, классифицированные по операционным слоям.

Слой 1 состоит из данных учётных записей из экспортов конфигураций устройств, включая хеши salted-SHA256 и PBKDF2.

Атрибуция осложнена тем, что высокоуровневые учетные данные связаны с подрядчиками и дочерними компаниями, а не с материнскими корпорациями.

Уровень 2 использует передовые техники захвата учётных данных, такие как данные предварительной аутентификации Kerberos из прослушивания сетевого трафика.

Кампания использует такие инструменты, как ad_enum.py для перечисления объектов Active Directory и spray_admin.sh для распыления пароля.

Мощь атакующих в области взлома обеспечивается арендованными GPU-инстансами, что указывает на недооценку их ресурсов.

Набор данных targets_300M_plus.txt ранжирует конечные точки SSH и VPN по уровню доходов, подтверждая наличие рабочего доступа, а не просто взломанных паролей.

Атакующие демонстрируют потенциальное российское влияние в своём инструментарии, при этом связи с персидскими регионами предполагаются по названию паролей.

Наибольшее количество затронутых устройств зафиксировано в Индии, за ней следуют Соединенные Штаты и Тайвань.

Существует примерно 21 000 скомпрометированных доменов, в основном принадлежащих ненаблюдаемым именам внутренних сетей.

Кампания проводила бессистемный поиск экспонированных продуктов Fortinet без конкретной целевой направленности.

Организации с открытыми интерфейсами FortiOS должны считать свои учетные данные скомпрометированными и предпринять меры по устранению.

Рекомендуемые стратегии включают устранение публичного доступа, ротацию учетных данных, обеспечение многофакторной аутентификации и обновление FortiOS.
#ParsedReport #CompletenessMedium
17-06-2026

Bluekit Phishing as a Service (PhaaS)

https://www.cloudsek.com/blog/bluekit-phishing-as-a-service-phaas

Report completeness: Medium

Threats:
Bluekit_tool
Credential_harvesting_technique
Smishing_technique
Capsolver_tool
Exobot
Mamont_spy
Cloaking_technique
Aitm_technique
Snagx_tool

Victims:
Financial institutions, Cloud providers, Cryptocurrency platforms, Electronic commerce services, Enterprise cloud environments, High value user accounts, Banking institutions, Cryptocurrency users, Social media platforms, Communication platforms, have more...

Industry:
E-commerce, Financial, Telco

Geo:
United states, India, France, Asia, America, Canada, Dominican republic, Japan

ChatGPT TTPs:
do not use without manual check
T1078, T1090, T1098, T1098.001, T1102, T1497, T1539, T1557, T1566, T1583.001, have more...

IOCs:
Domain: 5
File: 1

Soft:
Telegram, Jabber, gmail, outlook, Twitter, instagram, whatsapp, TikTok, Discord, LastPass, have more...

Wallets:
coinbase, bybit, trezor

Crypto:
binance, kucoin, monero

Platforms:
apple
CTT Report Hub
#ParsedReport #CompletenessMedium 17-06-2026 Bluekit Phishing as a Service (PhaaS) https://www.cloudsek.com/blog/bluekit-phishing-as-a-service-phaas Report completeness: Medium Threats: Bluekit_tool Credential_harvesting_technique Smishing_technique Capsolver_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
BlueKit — это платформа Фишинг как услуга, обеспечивающая сбор учетных записей и захват учетных записей, особенно нацеленная на финансовый сектор и сектор электронной коммерции. Она включает систему фишинговых страниц «равный-равному», которая позволяет избегать обнаружения, автоматизированные инструменты для перехвата сессий и сбора файлов cookie, а также поддерживает расширенные шаблоны фишинга для эксплуатации различных платформ, включая те, которые защищают криптоактивы. Модель подписки позволяет киберпреступникам с низким уровнем квалификации получить доступ к ее сложным возможностям, сохраняя при этом анонимность и оперативный охват.
-----

BlueKit — сложная платформа Фишинг как услуга (PhaaS), выявленная в ходе мониторинга CloudSek, предназначена для масштабного сбора учетных записей, перехвата сессий и захвата учетных записей, нацеленных на такие сектора, как финансы, облачные сервисы и электронная коммерция по всему миру. Эта платформа демонстрирует передовые операционные возможности, включая структурированную модель подписки, которая позволяет киберпреступникам с низким уровнем квалификации запускать масштабные фишинговые кампании при минимальных технических знаниях. BlueKit интегрирует необходимые инструменты для автоматизированного развертывания фишинга, мер противодействия обнаружению и систем уведомления о жертвах в реальном времени, что значительно снижает порог входа для начинающих злоумышленников.

Заметным улучшением в архитектуре BlueKit является переход к системе рендеринга фишинговых страниц на основе одноранговой сети (P2P), которая эффективно скрывает элементы бэкенда от инструментов анализа стандартного трафика. Этот сдвиг усложняет отслеживание происхождения и усилия по обнаружению, поскольку традиционные индикаторы компрометации (IOC) менее эффективны против P2P-модели. Кроме того, BlueKit включает такие функции, как обход CAPTCHA через такие сервисы, как CapSolver, и различные техники уклонения, которые активно дорабатываются в ответ на события обнаружения.

Платформа поддерживает масштабную автоматизацию, позволяя беспрепятственно выполнять такие действия, как перехват сессий и сбор учетных данных. Например, она захватывает не только учетные данные, но и cookies сессий, которые могут быть использованы для обхода механизмов многофакторной аутентификации (MFA), тем самым позволяя злоумышленникам поддерживать постоянный доступ к скомпрометированным учетным записям. Эта функция дополнительно усиливается за счет интеграции с такими инструментами, как Octo Browser, что снижает риск обнаружения за счет манипуляций с отпечатком браузера.

BlueKit использует продвинутые фишинговые шаблоны, нацеленные как на обычные платформы, такие как Gmail, так и на специализированные аппаратные кошельки, такие как Ledger и Trezor. Последний позволяет осуществлять необратимое кражу криптографических активов, обманывая пользователей и заставляя их раскрыть свои фразы восстановления. Этот подход подчеркивает стратегическое нацеливание BlueKit на высокоценные финансовые активы, отражая эффективность в монетизации украденных учетных данных.

Модель подписки BlueKit позволяет реселлерам использовать и брендировать фишинговую инфраструктуру как свою собственную, создавая эффект франчайзинга, который расширяет операционный охват и повышает анонимность. Эта модель позволяет основным разработчикам генерировать доход, не участвуя напрямую в фишинговых атаках. Кроме того, платформа обладает расширенными возможностями перехвата сессий, которые могут способствовать более масштабным атакам, включая развертывание программ-вымогателей, особенно в средах, ориентированных на корпоративные и банковские логины.
#ParsedReport #CompletenessLow
22-06-2026

A Multi-Stage Steganographic Loader Campaign Deploying Diverse Payloads Globally

https://labs.k7computing.com/index.php/a-multi-stage-steganographic-loader-campaign-deploying-diverse-payloads-globally/

Report completeness: Low

Threats:
Remcos_rat
Steganography_technique
Process_hollowing_technique
Agent_tesla
Phantom_stealer
Snake_keylogger
Masslogger
Formbook
Xworm_rat

Victims:
Finance, Taxation, India

Geo:
India

ChatGPT TTPs:
do not use without manual check
T1041, T1055.012, T1070, T1547.001, T1555.003, T1564.001, T1566.001, T1620

IOCs:
File: 4
IP: 4
Hash: 5

Soft:
winlogon

Languages:
powershell