CTT Report Hub
3.41K subscribers
9.65K photos
6 videos
67 files
13.3K links
Threat Intelligence Report Hub
Download Telegram
CTT Report Hub
#ParsedReport #CompletenessHigh 07-07-2026 From Invoice to AnyDesk: Uncovering a Phishing Campaign Targeting Russian Aerospace Organizations https://www.seqrite.com/blog/from-invoice-to-anydesk-uncovering-a-phishing-campaign-targeting-russian-aerospace-organizations/…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Выявлена кампания целевого фишинга, направленная против российских аэрокосмических организаций, в рамках которой используются письма, имитирующие легитимные счета-фактуры, для доставки защищенных паролем вложений, предназначенных для установки вредоносных компонентов, включая AnyDesk для удаленного доступа. За этими сложными атаками стоит злоумышленник Rare Werewolf, использующий методы, позволяющие обойти меры безопасности за счет взаимодействия с пользователем, а также легитимное программное обеспечение для минимизации обнаружения. Такой подход указывает на непрерывную эволюцию их тактик при сохранении постоянного доступа к скомпрометированным системам.
-----

Команда Seqrite Threat Research выявила кампанию целевого фишинга, направленную специально на российские аэрокосмические организации через письма, имитирующие легитимные бизнес-счета. Эти фишинговые письма используют поддельные домены для имперсонации устоявшихся организаций, таких как Федеральное бюджетное учреждение ВНИИР, и содержат защищенный паролем вложение с вредоносными компонентами, направленными на получение постоянного удаленного доступа. Кампания соответствует ранее задокументированным действиям злоумышленника Rare Werewolf, известного своей нацеленностью на промышленные секторы в России, Беларуси и Казахстане.

Начальная компрометация начинается с письма, содержащего архив под паролем с именем "счет на оплату.rar", который служит для обхода мер безопасности электронной почты, требуя взаимодействия пользователя для его открытия с использованием предоставленного пароля. Этот метод часто используется для избежания обнаружения сканирующими инструментами. После выполнения вложения он использует коммерческий установщик Smart Install Maker для развертывания нескольких компонентов, включая портативную версию AnyDesk, легитимного приложения удаленного рабочего стола, и других утилит, таких как Blat для SMTP-коммуникации, что позволяет осуществлять эксфильтрацию данных.

После запуска дроппер не только открывает поддельный PDF-файл, но и извлекает файлы во временную директорию, а также инициирует связь с сервером управления (C2) для загрузки дополнительного вредоносного контента. Выполняемый файл также настраивает AnyDesk для неавтоматизированного доступа, используя командную строку для установки заранее определенного пароля, что позволяет злоумышленнику проводить удаленные операции без ведома жертвы. После настройки эта конфигурация обеспечивает эксфильтрацию данных конфигурации AnyDesk на электронную почту, контролируемую злоумышленником, предоставляя противникам необходимые учетные данные и позволяя сохранять постоянный доступ к скомпрометированной системе.

Использование кампанией тактик living-off-the-land подразумевает использование легитимного программного обеспечения для маскировки под стандартные системные операции, тем самым минимизируя следы криминалистический анализ и усложняя обнаружение. Для сокрытия вредоносных действий применяются такие инструменты, как Blat и модифицированные версии WinRAR, а активность демонстрирует устойчивую закономерность, указывающую на текущую оперативную стратегию, а не на изолированные атаки. Устоявшаяся методология, наряду с различными проанализированными образцами, указывает на то, что Rare Werewolf активно обновляет свои тактики, сохраняя при этом основные аспекты своего подхода.

В целом, анализ демонстрирует сложную фишинг-кампанию, нацеленную на стратегические секторы в России, характеризующуюся скрытыми методами удаленного доступа и опорой на легитимные приложения для поддержания низкого профиля. Эта тенденция подчеркивает важность бдительности и надежных мер безопасности перед лицом эволюционирующих тактик киберугроз.
#ParsedReport #CompletenessHigh
07-07-2026

Cavern Manticore: Exposing Iran-Linked Modular C2 Framework

https://research.checkpoint.com/2026/cavern-manticore-exposing-iran-linked-modular-c2-framework/

Report completeness: High

Actors/Campaigns:
Cavern_manticore
Muddywater
Siamesekitten
Oilrig

Threats:
Cav3rn
Dll_sideloading_technique
Sysaid_tool
Steganography_technique
Supply_chain_technique
Lolbin_technique

Victims:
Government, Information technology, Defense, Israel

Industry:
Government, Military

Geo:
Israeli, Israel, Iran, Iranian

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1001, T1001.002, T1036.005, T1046, T1070.004, T1071.001, T1083, T1090, T1105, T1110, have more...

IOCs:
Path: 2
File: 26
Domain: 5
Url: 3
Hash: 14

Soft:
NET Framework, Microsoft Edge, ASP.NET, Active Directory

Wallets:
harmony_wallet

Algorithms:
gzip, base32, zip, base64, xor

Functions:
GetMembers

Win API:
NetShareEnum, NetLocalGroupGetMembers, EnableThemeDialogTexture, nableThemeDialogTexture ex, LoadLibraryA, GetProcAddress, getVersion, LDAP_SEARCH, decompress, CryptDecrypt, have more...

Platforms:
x64

Links:
have more...
https://github.com/dnSpyEx/dnSpy
https://github.com/icsharpcode/ilspy
https://github.com/washi1337/ghidra-nativeaot
CTT Report Hub
#ParsedReport #CompletenessHigh 07-07-2026 Cavern Manticore: Exposing Iran-Linked Modular C2 Framework https://research.checkpoint.com/2026/cavern-manticore-exposing-iran-linked-modular-c2-framework/ Report completeness: High Actors/Campaigns: Cavern_manticore…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Cavern Manticore, хакерская группировка, связанная с Ираном, атакует израильские организации, используя модульный фреймворк управления, построенный на технологии .NET, аналогичный другим иранским группировкам. Актор применяет три уникальных бинарных формата для обфускации и использует программное обеспечение RMM для первоначального доступа, наряду с продвинутыми техниками управления, такими как XOR и кодирование Base64, для уклонения от обнаружения. Ключевые возможности включают независимые операции модулей для разведки и туннелирования данных, что усиливает сложность их тактик, сосредоточенных на эксплуатации уязвимостей в Цепочке поставок.
-----

Cavern Manticore — это связанная с Ираном хакерская группировка, нацеленная на израильские организации, особенно в государственном и ИТ-секторах. Её операции включают сложный модульный фреймворк управления (управление), использующий технологию .NET, который тесно напоминает других иранских акторов, связанных с MOIS, таких как MuddyWater и Lyceum. Архитектура фреймворка состоит из агентов и модулей Cavern, предназначенных для различных действий после эксплуатации, таких как разведка, взаимодействие с файловой системой, просмотр баз данных, запросы LDAP и туннелирование данных.

Реализация Cavern Manticore использует уникальные форматы компиляции в своих компонентах .NET, что помогает маскировать ВПО от статического анализа. В частности, фреймворк применяет три различных бинарных формата: .NET Framework, смешанный режим C++/CLI и .NET Native AOT. Этот стратегический выбор усложняет усилия по реверс-инжинирингу, поскольку каждый формат требует различных инструментов и методологий анализа. Модули спроектированы для работы независимо, предоставляя адаптированные возможности в зависимости от среды жертвы, одновременно обеспечивая снижение видимости для защитников.

Первоначальный доступ к сетям жертв обычно осуществляется путем эксплуатации существующего программного обеспечения для удаленного мониторинга и управления (Remote Monitoring and Management, RMM), что подчеркивает оперативный фокус актора на уязвимостях в Цепочке поставок. Связь через C2 демонстрирует продвинутые техники, такие как кодирование XOR и Base64, для маскировки трафика, а также специфические строки user-agent для уклонения от обнаружения. Примечательно, что каждый функциональный модуль разработан для бесшовной замены или обновления через механизм самовыполняемых команд, что позволяет злоумышленнику поддерживать постоянный доступ и функциональность с течением времени.

Кроме того, Cavern Manticore использует изоляцию AppDomain для усиления антикриминалистических возможностей ВПО. Этот метод обеспечивает чистое удаление модулей из памяти после выполнения, тем самым оставляя минимальные артефакты для криминалистического анализа. Модульность и адаптивность системы указывают на высокий оперативный темп и стратегический подход к выбору целей, что подтверждается способностью актора перемещаться по цепочкам доверенных ИТ-поставщиков для достижения высокоценных целей.

Использование модулей, созданных специально для различных задач, таких как разведка LDAP и сканирование сети, демонстрирует хорошо интегрированный набор инструментов, разработанный для сложных операционных требований. С четким акцентом на эксплуатацию доверенных отношений доступа, Cavern Manticore подчеркивает необходимость для организаций укреплять свою защиту от несанкционированного использования легитимных административных инструментов, особенно в сочетании с решениями RMM, чтобы снизить риски, связанные с перемещением внутри компании и эксфильтрацией данных.

В заключение, эволюционирующие тактики и технологии, применяемые группировкой Cavern Manticore, подтверждают необходимость кибербезопасных стратегий, выходящих за рамки статических индикаторов компрометации, и призывают к более глубокому фокусу на поведенческих паттернах, манипуляциях с инфраструктурой и эксплуатации административных каналов в защите от сложных киберугроз.
#ParsedReport #CompletenessHigh
07-07-2026

Don’t Eat The ChocoPoCs! How Vulnerability Researchers Were Repeatedly Targeted By Trojanised Exploits

https://www.sekoia.com/blog/dont-eat-the-chocopocs-how-vulnerability-researchers-were-repeatedly-targeted-by-trojanised-exploits

Report completeness: High

Threats:
Chocopoc
React2shell_vuln
Nuclei_tool
Timestomp_technique
Dead_drop_technique
Supply_chain_technique
Copyfail_vuln

Victims:
Vulnerability researchers, Penetration testers, Vulnerability scanning vendors, Offensive security tooling, Developer environments

Geo:
Indonesian, Chinese, Spanish, Turkish

CVEs:
CVE-2026-48908 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ollyo sp_page_builder (<6.6.2)

CVE-2025-64446 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiweb (<7.0.12, <7.2.12, <7.4.10, <7.6.5, <8.0.2)

CVE-2026-50751 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- checkpoint gaia_os (<r81.20, r82, r82.10)

CVE-2025-14847 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- mongodb (<4.4.30, <5.0.32, <6.0.27, <7.0.28, <8.0.17)

CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)

CVE-2026-0257 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (<10.2.7, 10.2.8, 10.2.9, 10.2.10, 10.2.11)

CVE-2026-10520 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti standalone_sentry (<10.5.2, <10.6.2, 10.7.0)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1016, T1027, T1027.007, T1041, T1057, T1059, T1059.006, T1070.006, T1071.001, have more...

IOCs:
File: 23
Domain: 3
Url: 11
Email: 1
Hash: 5

Soft:
Ivanti Sentry, Joomla, Linux, Google Chrome, Microsoft Edge, Mozilla Firefox, PAN-OS, Langflow

Algorithms:
base36, base64, xor, exhibit, hmac

Functions:
exec

Win API:
LoadLibrary, CheckRemoteDebuggerPresent, GetThreadContext, ContextFlags, PY

Languages:
python

Links:
https://github.com/ogenich/CVE-2026-48908
have more...
https://github.com/projectdiscovery/nuclei-templates
https://github.com/bolubey/CVE-2026-0257
CTT Report Hub
#ParsedReport #CompletenessHigh 07-07-2026 Don’t Eat The ChocoPoCs! How Vulnerability Researchers Were Repeatedly Targeted By Trojanised Exploits https://www.sekoia.com/blog/dont-eat-the-chocopocs-how-vulnerability-researchers-were-repeatedly-targeted-by…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние атаки на цепочку поставок нацелены на исследователей уязвимостей с использованием сложного ВПО под названием ChocoPoC, представляющего собой RAT на базе Python, который похищает конфиденциальные данные и выполняет команды. Атака использует путаницу зависимостей через вредоносный пакет, который устанавливает троянизированную библиотеку, запуская цепочку ВПО, скрывающую свою C2-коммуникацию с помощью техник Домен-прикрытие. Эти атаки демонстрируют эксплуатацию ресурсов сообщества, при этом задействовано несколько репозиториев, что указывает на кампанию скоординированного злоумышленника, направленную на кражу учетных данных и конфиденциальной информации.
-----

Атаки на цепочку поставок нацелены на исследователей уязвимостей с использованием троянизированных эксплойтов Proof-of-Concept (PoC).

Вредоносное ПО, названное ChocoPoC, представляет собой Python Троянскую программу (RAT), предназначенную для эксфильтрации данных, выполнения команд и сбора учетных данных.

Атаки эксплуатируют чувство срочности, связанное с тем, что исследователи разрабатывают механизмы обнаружения для недавно раскрытых уязвимостей, таких как React2Shell (CVE-2025-55182), FortiWeb (CVE-2025-64446) и Ivanti Sentry (CVE-2026-10520).

Злоумышленники используют репозитории GitHub для распространения скомпрометированных PoC.

Механизм заражения использует тактику путаницы зависимостей, связанную с вредоносным пакетом Python под названием `frint`, который зависит от пакета `skytext`.

При выполнении PoC устанавливает зависимости, загружая троянизированную библиотеку, которая расшифровывает скрипты и загружает второй этап полезной нагрузки из скомпрометированного API.

ChocoPoC устанавливает необходимые пакеты, выполняет скомпрометированную библиотеку и взаимодействует с инфраструктурой C2 через наборы данных Mapbox.

Техники Домен-прикрытие используются для маскировки трафика C2, усложняя обнаружение.

ВПО нацелено на учетные данные браузеров, сканирует наличие конфиденциальных файлов и выполняет произвольные команды.

ChocoPoC использует закрепление путем размещения троянизированных файлов в каталоге site-packages Python и применяет timestomping для уклонения от обнаружения.

RAT может отвечать атакующему на основе структуры опроса и настраивать частоту связи с сервером C2.

Выполняемые RAT команды включают системную разведку, динамическое выполнение кода и сбор учетных записей.

Выявлено как минимум семь репозиториев с Proof-of-Concept (PoC), содержащих схожие цепочки заражения, что указывает на скоординированную атаку со стороны одного злоумышленника.

Эта стратегия атаки указывает на сдвиг в поведении злоумышленников, эксплуатирующих среду разработки, в результате чего исследователи уязвимостей становятся ключевыми целями.

Существует острая необходимость в улучшении практик безопасности среди специалистов по кибербезопасности при выполнении ненадежного кода для предотвращения продвинутых угроз.
#ParsedReport #CompletenessLow
07-07-2026

Connecting Scattered Spider: Defining A Cybercrime Collective Through Shared TTPs

https://www.group-ib.com/blog/connecting-scattered-spider/

Report completeness: Low

Actors/Campaigns:
0ktapus (motivation: cyber_criminal, hacktivism, financially_motivated)
Dragonforce

Threats:
Sim_swapping_technique
Anydesk_tool
Dragonforce_ransomware
Blackcat
Smishing_technique

Victims:
Marketing and communication services, Mobile carriers, Banking, Enterprise, Cryptocurrency, Insurance, Business process outsourcing, Helpdesk services, Government

Industry:
Retail, Telco, Financial, Government, Bp_outsourcing

Geo:
Usa, Canada

ChatGPT TTPs:
do not use without manual check
T1078, T1105, T1199, T1219, T1486, T1566, T1566.002, T1566.003, T1566.004, T1586.002, have more...

Soft:
Sendgrid, Okta, Telegram

Wallets:
coinbase
CTT Report Hub
#ParsedReport #CompletenessLow 07-07-2026 Connecting Scattered Spider: Defining A Cybercrime Collective Through Shared TTPs https://www.group-ib.com/blog/connecting-scattered-spider/ Report completeness: Low Actors/Campaigns: 0ktapus (motivation: cyber_criminal…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Scattered Spider — это децентрализованное объединение субкластеров, осуществляющих разнообразные киберпреступления, такие как SIM-свопинг, кража криптовалюты и фишинг, с корнями, уходящими в середину 2022 года, и атаками на компании, такие как Twilio. Их методы включают тактики имперсонации, вишинг и автоматизированные инструменты для телефонных мошеннических схем, при этом они используют социальную инженерию для получения доступа к конфиденциальной информации. Участие в деятельности групп вымогателей подчеркивает изменяющийся ландшафт угроз, который усложняет усилия по атрибуции и реагированию.
-----

Scattered Spider описывается как коллектив независимых субкластеров, а не единая организованная хакерская группировка. Эта динамичная коллективная структура характеризуется общими тактиками, техниками и процедурами (TTPs) и связана с различными высокопрофильными атаками, в основном связанными с подменой SIM-карт, кражей криптовалюты и фишинг-кампаниями. Происхождение Scattered Spider восходит к середине 2022 года, с заметными атаками, такими как те, что были направлены на Twilio и другие организации, и действия правоохранительных органов не снизили его текущую угрозу.

Подкластеры внутри Scattered Spider применяют разнообразные методы атак, включая кражу физических устройств у мобильных операторов для SIM-своппинга и атаку на корпоративные платформы связи для распространения фишинговых ссылок. Их атаки носят оппортунистический характер, а круг жертв широк и охватывает различные отрасли, от маркетинговых услуг до банковского сектора и игровой индустрии. Например, подкластеры эксплуатировали сотрудников таких компаний, как Verizon и T-Mobile, применяя социальную инженерию и подкуп для обеспечения несанкционированного доступа и эксплуатации внутренних инструментов.

Технически Scattered Spider использует передовые тактики, в первую очередь сосредотачиваясь на техниках имперсонации, таких как создание фишинговых страниц, имитирующих Okta и других провайдеров идентификации. Социальные компоненты имеют критическое значение, поскольку злоумышленники часто применяют вайсинг (голосовой фишинг) и смишинг (SMS-фишинг), чтобы обмануть потенциальных жертв и вынудить их раскрыть конфиденциальную информацию. Операционные методологии включают использование автоматизированных P1-ботов для масштабируемых телефонных мошеннических схем и сложных RAT (троянов удаленного доступа), которые обеспечивают постоянный доступ к скомпрометированным устройствам.

Деятельность, связанная с криптовалютой, доминирует в спектре атак, при этом субкластеры выполняют SIM-свопы у владельцев криптовалют или нацеливаются на сотрудников криптокомпаний, чтобы получить информацию о высокоценных лицах. Вымогательское ПО также стало тактикой, при этом некоторые субкластеры сотрудничают с известными группами вымогательского ПО для получения выкупа или исходного кода у крупных организаций, что свидетельствует о сдвиге в их стратегии атак в сторону прямого вымогательства.

Децентрализованный характер Scattered Spider усложняет атрибуцию и стратегии реагирования, поскольку субкластеры действуют независимо, разделяя при этом оперативные цели и ресурсы. Их устойчивость и адаптивность подчеркивают устойчивый характер угроз, в котором различные стратегии атакующих векторов и тактики социальной инженерии продолжат представлять риски для множества секторов. На основе представленного анализа эволюционирующие стратегии Scattered Spider демонстрируют необходимость усиления осведомленности в области кибербезопасности и превентивных мер в целевых отраслях.
#technique

EasyTokens
A device-code phishing server for adversary emulation. Captures Microsoft 365 OAuth tokens via the Device Authorization Grant flow. Inspired by GraphSpy.

https://github.com/secdev02/EasyTokens
#technique

Terraforming Mythic
This project allows operators to set up multiple Mythic C2 servers in Azure. Optionally, Azure CDN redirectors can be created as well. The idea is that you are able to create multiple "projects" that you can manage from this Terraform code. This way, operators can manage the resources for their infrastructure in a central place, as code.

https://github.com/qmadev/tf-mythic-azure
#technique

Hollow
hollow is a shellcode loader generator. You give it a raw shellcode binary and a profile, and it spits out a compiled Windows PE loader with your shellcode encrypted inside.

https://github.com/Chaelsoo/Hollow
#ParsedReport #CompletenessMedium
08-07-2026

Anatomy of an Attack. VIPERTUNNEL

https://www.extrahop.com/blog/vipertunnel

Report completeness: Medium

Actors/Campaigns:
Silverfish
Evil_corp
Dragonforce

Threats:
Vipertunel
Dragonforce_ransomware
Lolbin_technique
Lolbas_technique
Socgholish_loader
Pyramid_c2_tool

Geo:
Russian

TTPs:
Tactics: 2
Technics: 18

IOCs:
File: 3

Soft:
Windows scheduled task, Windows Security

Algorithms:
chacha20, xor, aes

Languages:
python
CTT Report Hub
#ParsedReport #CompletenessMedium 08-07-2026 Anatomy of an Attack. VIPERTUNNEL https://www.extrahop.com/blog/vipertunnel Report completeness: Medium Actors/Campaigns: Silverfish Evil_corp Dragonforce Threats: Vipertunel Dragonforce_ransomware Lolbin_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
VIPERTUNNEL — это бэкдор на базе Python, связанный с российской группой UNC2165, впервые выявленный в 2024 году и эволюционировавший к 2026 году. Он действует скрытно после компрометации, используя техники социальной инженерии и применяя легитимные бинарные файлы Python для закрепления, чтобы замаскировать вредоносную активность, включая выполнение скриптов в тихом режиме. ВПО кодирует свой полезный груз в виде DLL-файла, эксплуатирует выполнение в памяти для уклонения от обнаружения и устанавливает SOCKS5-прокси для коммуникаций, усложняя усилия по мониторингу.
-----

VIPERTUNNEL — это бэкдор на базе Python, связанный с российской группой UNC2165 (EvilCorp).

Впервые обнаружен в 2024 году, к 2026 году он эволюционировал в функциональности.

Развертывается после компрометации, преимущественно с использованием техник социальной инженерии.

VIPERTUNNEL полагается на легитимные бинарные файлы Python для поддержания постоянного доступа.

ВПО создает запланированную задачу Windows, которая маскирует его выполнение.

Вредоносные скрипты размещаются в пути библиотеки Python для выполнения в скрытом режиме.

ВПО кодирует полезную нагрузку в виде DLL-файлов для обхода обнаружения.

Этот DLL-файл представляет собой сильно запутанный скрипт на Python, выполняемый непосредственно из памяти.

VIPERTUNNEL устанавливает SOCKS5-прокси для связи со своим C2-сервером.

Трафик через прокси не демонстрирует типичных характеристик HTTPS на порту 443.

Индикаторы компрометации включают необычное выполнение Python и неожиданные запланированные задачи.

Соединения исходящего трафика с использованием протокола SOCKS через порт 443 имеют решающее значение для обнаружения.

Для защиты рекомендуется осуществлять мониторинг запланированных задач и изменений в Python-скриптах.

Сотрудничество между SOC и NOC имеет решающее значение для эффективного обнаружения и управления туннелированием.

VIPERTUNNEL использует различные техники «жизни за счёт земли» для маскировки своей деятельности.