#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - о Smoke Loader, сложном и популярном вредоносном ПО, известном своей продвинутой тактикой уклонения и скрытным поведением. Оно использовалось в основном для загрузки последующих этапов вредоносного ПО, особенно похитителей информации, нацеленных на извлечение учетных данных. Smoke Loader использует различные методы, чтобы запутать свои операции, имитировать законные схемы трафика, уклоняться от обнаружения и сохранять скрытность. Его возможности представляют значительную угрозу для систем и организаций, требуя передовых средств защиты для борьбы с его сложными функциями.
-----

Smoke Loader - это сложная вредоносная программа, представленная в 2011 году, которая в основном используется для загрузки последующих этапов вредоносного ПО, особенно похитителей информации, нацеленных на извлечение учетных данных.

Он использует передовые методы антианализа и анти-отладки, что затрудняет его обнаружение, и использует тактику для запутывания своих операций командования и контроля (C2).

Smoke Loader изначально продавался как SmokeLdr на платформах даркнета и с 2014 года был доступен исключительно участникам угроз, базирующимся в России.

Вредоносное ПО обычно распространяется через вредоносные документы, рассылаемые по электронной почте со спамом, или целенаправленные кампании фишинга, активируясь при взаимодействии с ними пользователей и внедряя вредоносный код в скомпрометированные системные процессы.

В одной кампании Smoke Loader поставляется в комплекте с Wextract, самоэкстрактором Win32 Cabinet, и использует сильно запутанный код, чтобы ввести в заблуждение механизмы дизассемблера и усложнить анализ.

Smoke Loader использует сложные методы уклонения, такие как расшифровка и повторное шифрование своего кода во время выполнения, и использует алгоритмы хэширования для разрешения API, необходимых для его работы.

Вредоносная программа проверяет местоположение зараженных компьютеров на основе языка клавиатуры, избегает заражения компьютеров в определенных странах и повышает привилегии в зависимости от уровня целостности токена.

Он тщательно проверяет загруженные модули и процессы, сравнивает их с известными антивирусными решениями и средами виртуализации, внедряет в систему следующий этап вредоносного ПО и шифрует его конфигурационные данные с помощью RC4 в формате таблицы строк.

#ParsedReport #CompletenessLow
15-03-2024

Navigating the Maze of SocGholish with Huntress: A Practical Guide

https://www.huntress.com/blog/navigating-the-maze-of-socgholish-with-huntress-a-practical-guide

Report completeness: Low

Threats:
Maze
Socgholish_loader

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1595, T1190, T1583

IOCs:
File: 2
Url: 2
Domain: 1

Soft:
Google Chrome, Chrome, WordPress

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении и угрозе сложных атак, подобных SocGholish, в киберпространстве, использовании платформы Huntress для борьбы с этими атаками, а также в подробном руководстве, предоставленном для понимания и смягчения последствий вредоносной активности, связанной с SocGholish.
-----

В современном ландшафте развивающихся киберугроз появление изощренных атак, подобных SocGholish, представляет значительный риск для цифровой безопасности. Для ИТ-специалистов эффективное понимание таких угроз и противодействие им имеет первостепенное значение для защиты цифровой среды. В этом посте рассматривается использование платформы Huntress для борьбы с атаками SocGholish, а также приводится подробное руководство по навигации и смягчению последствий этой вредоносной активности. В следующем кратком изложении будут рассмотрены практические шаги, описанные в руководстве, для эффективного устранения угроз SocGholish.

SocGholish работает как вредоносный фреймворк, который хитроумно использует методы социальной инженерии для обмана пользователей. Киберпреступники используют этот метод, принимая облик законных организаций, чтобы манипулировать людьми, заставляя их выполнять вредоносные действия, такие как переход по вредоносным ссылкам или загрузка зараженных обновлений. Успех SocGholish заключается в его способности эффективно обманывать пользователей, что часто приводит к существенным нарушениям безопасности.

Первоначальным признаком потенциальной угрозы SocGholish является обнаружение пользователем подозрительного файла JavaScript с именем "Update.js" в своем браузере. При ближайшем рассмотрении выясняется, что используемый браузер - Google Chrome. Важным открытием в ходе расследования является идентификация недавней истории браузера пользователя, позволяющая точно определить момент, когда пользователь неосознанно загрузил вредоносный файл с сомнительного домена. Расследование показало, что вредоносный файл был загружен со взломанного сайта WordPress, в частности с личного блога, который был взломан для перенаправления пользователей на сайт, на котором размещен вредоносный файл JavaScript, ответственный за доставку вредоносного ПО SocGholish. Идентифицированный URL-адрес, на котором размещен вредоносный файл, - это assay.porchlightcommunity.org/03j7jahamOS3WsG/5UDXr6ARn6/pT8m/, что служит ключевым ориентиром для дальнейшего анализа.

Чтобы углубить расследование и расширить понимание ландшафта угроз, проводится дополнительное исследование путем запроса идентифицированного домена, assay.porchlightcommunity.org, на URLScan.io. Этот шаг раскрывает полный список потенциально скомпрометированных доменов, которые могут быть связаны с размещением того же вредоносного контента. Благодаря этому анализу было идентифицировано более 100 потенциально скомпрометированных доменов, что указывает на повсеместный характер угрозы SocGholish. Совместные усилия, связанные с обнаружением второго этапа и дополнительных скомпрометированных доменов, приписываются Джаю Минтону, старшему аналитику из команды AUS в Huntress, который использовал сканирование URL-адресов для усиления расследования.

#ParsedReport #CompletenessMedium
15-03-2024

From Delivery To Execution: An Evasive Azorult Campaign Smuggled Through Google Sites

https://www.netskope.com/blog/from-delivery-to-execution-an-evasive-azorult-campaign-smuggled-through-google-sites

Report completeness: Medium

Threats:
Azorult
Smuggling_technique
Nokoyawa
Amsi_bypass_technique

Industry:
Financial, Healthcare

ChatGPT TTPs:
do not use without manual check
T1566.002, T1027, T1059.001, T1059.007, T1003, T1555, T1112, T1218.011, T1027.002, T1071.001, have more...

IOCs:
Domain: 2
File: 18

Soft:
Windows Defender, Chrome, Google Chrome

Wallets:
safepal, trezor

Algorithms:
gzip, base64, xor, curve25519

Win API:
VirtualAlloc, CreateThread, WaitForSingleObject, GetDeviceCaps, CopyFile

Languages:
powershell, php, javascript

Links:
https://github.com/netskopeoss/NetskopeThreatLabsIOCs/tree/main/Malware/Azorult/IOCs

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - о сложной кампании Azorult, обнаруженной Netskope Threat Labs, которая использует методы обхода защиты, такие как контрабанда HTML, загрузка отражающего кода и обход AMSI, для незамеченной фильтрации конфиденциальных данных. Злоумышленники используют различные методы, чтобы обойти решения по обеспечению безопасности и успешно украсть конфиденциальную информацию у жертв, подчеркивая постоянную угрозу, исходящую от вредоносных программ, таких как Azorult, и необходимость постоянного мониторинга и упреждающих методов анализа угроз.
-----

Лаборатория угроз Netskope недавно обнаружила сложную кампанию Azorult в дикой природе, которая использует различные методы обхода защиты, чтобы оставаться незамеченной при эксфильтрации конфиденциальных данных. Azorult, программа-похититель информации, обнаруженная в 2016 году, стала одной из главных вредоносных программ, нацеленных на отрасль здравоохранения. В этой конкретной кампании злоумышленники используют контрабанду HTML, загрузку отражающего кода и методы обхода AMSI, чтобы избежать обнаружения решениями безопасности.

Кампания начинается с использования HTML-контрабанды, метода, который обходит веб-средства контроля, блокирующие опасные типы файлов, путем создания вредоносных полезных нагрузок на стороне клиента с использованием законных атрибутов загрузки HTML5 и больших двоичных объектов Javascript. В этом случае злоумышленники создают поддельные страницы Google Docs на сайтах Google, чтобы обманом заставить жертв загружать вредоносную полезную нагрузку. Полезная нагрузка, встроенная в отдельный файл JSON на внешнем домене, загружается на компьютер жертвы после прохождения проверки с помощью CAPTCHA для дополнительной защиты. Эта полезная нагрузка маскируется под файл быстрого доступа LNK с использованием значка PDF, инициируя цепочку событий, которая в конечном итоге загружает несколько сценариев Powershell и инициирует выполнение Azorult infostealer.

Чтобы обойти обнаружение, злоумышленники запускают Azorult infostealer в памяти, используя отражающую загрузку кода, загружая как шеллкод, так и исполняемые файлы в память процесса. В этом процессе злоумышленники используют сценарии Powershell для обхода интерфейса проверки на наличие вредоносных программ (AMSI) и загрузки загрузчика Azorult из скомпрометированного домена. Затем загрузчик сохраняется в памяти и выполняется вместе с шелл-кодом для дальнейшего выполнения вредоносных действий.

После запуска Azorult infostealer собирает множество конфиденциальных данных от жертвы. Он делает снимки экрана, извлекает данные браузера из Chrome, Edge и Firefox, крадет информацию о криптокошельке и выполняет поиск конфиденциальных документов на рабочем столе жертвы. Эти украденные данные сжимаются, шифруются и отправляются на сервер командования и контроля (C2) по протоколу HTTPS для эксфильтрации. Infostealer использует различные методы шифрования для защиты украденных данных во время транспортировки.

Использование множества методов уклонения, таких как контрабанда HTML, загрузка отражающего кода и шифрование, подчеркивает изощренность этой кампании. Используя эту тактику, злоумышленники успешно избегают обнаружения решениями безопасности и беспрепятственно осуществляют свои операции по краже данных. Этот анализ подчеркивает постоянную угрозу, исходящую от Azorult и аналогичных инфокрадов, подчеркивая важность постоянного мониторинга и упреждающих методов анализа угроз для защиты от развивающихся киберугроз.

#ParsedReport #CompletenessLow
15-03-2024

Ransomware Roundup RA World

https://www.fortinet.com/blog/threat-research/ransomware-roundup-ra-world

Report completeness: Low

Actors/Campaigns:
Ra-group

Threats:
Shadow_copies_delete_technique

Victims:
23 victims

Geo:
Netherlands, Czech, Japan, India, Colombia, Poland, Taiwan, Korea, France, Mexico, Italy, Thailand, Germany

ChatGPT TTPs:
do not use without manual check
T1486, T1490, T1485, T1020, T1567, T1102, T1071

IOCs:
Hash: 4
File: 26
Command: 1

Soft:
DefWatch, onenote, outlook, thebat, wordpad, Telegram, Internet Explorer, Opera, Mozilla Firefox

Algorithms:
sha2

Win Services:
GxVss, GxBlr, GxFWD, GxCVD, GxCIMgr, ccEvtMgr, ccSetMgr, SavRoam, RTVscan, QBFCService, have more...

Platforms:
intel, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении варианта программы-вымогателя RA World в качестве значительной угрозы в ландшафте киберугроз, подчеркивающей его тактику, воздействие на жертв, векторы заражения, географическое распространение, характеристики, методы коммуникации с жертвами и необходимость принятия упреждающих мер кибербезопасности для снижения связанных с ним рисков.
-----

В последнем выпуске отчета FortiGuard Labs Roundup о программах-вымогателях основное внимание уделяется RA World ransomware, варианту, который набирает обороты в сфере киберугроз. Это ПО-вымогательски было впервые идентифицировано в декабре 2023 года, когда оно было отправлено в общедоступную службу сканирования файлов. Исполнитель угроз, стоящий за RA World, занимается кражей данных у жертв, прежде чем внедрить свою программу-вымогатель для шифрования файлов. Они также используют сайты TOR и не-TOR для утечки украденных данных и препятствуют восстановлению системы, удаляя теневые копии томов и резервные копии резервных копий.

Конкретный вектор заражения, используемый RA World ransomware group, в настоящее время неизвестен, но считается, что он аналогичен тактике других групп вымогателей. Образцы этой программы-вымогателя были выявлены в различных странах, включая Нидерланды, Францию, Великобританию, Чешскую Республику, Польшу, Колумбию и Японию. На сайтах утечки данных программы-вымогателя указаны 23 жертвы, расположенные в таких странах, как Германия, Великобритания, США, Италия и других.

Проанализированный исходный образец RA World (SHA2: 4866d6994c2f8b4dadfaabc2e2b81bd86c12f68fdf0da13d41d7b0e30bea0801) демонстрирует такие характеристики, как шифрование файлов, удаление теневых копий томов и добавление определенного расширения к зашифрованным файлам. Исполнитель угроз предоставляет жертвам способы связи через Tox и Telegram, последствия несоблюдения которых приводят к публикации украденных файлов в файлообменной службе. Уведомление о выкупе включает жестко запрограммированный список неоплаченных жертв и исключает определенные типы файлов из шифрования. Выборка предполагает, что группа программ-вымогателей начала свою деятельность примерно в ноябре 2023 года, причем даты компиляции указывают на временные рамки активности. Последующие варианты программы-вымогателя RA World, такие как SHA2: 51da3acc6c7089bd0f1df9d9902e183db0d1342552404c3c1b898b168399b0bc и SHA2: 9479a5dc61284ccc3f063ebb38da9f63400d8b25d8bca8d04b1832f02fac24de, были идентифицированы с аналогичным поведением, но незначительными вариациями.

Группа программ-вымогателей использует как сайты TOR, так и сайты, не связанные с TOR, для публикации данных, что добавляет дополнительный уровень сложности усилиям по отслеживанию и смягчению последствий. В целом, программа-вымогатель RA World представляет значительную угрозу для организаций и частных лиц, подчеркивая важность упреждающих мер кибербезопасности и протоколов реагирования на инциденты для защиты от эволюционирующей тактики программ-вымогателей.

#ParsedReport #CompletenessMedium
15-03-2024

BlackCat Ransomware Affiliate TTPs

https://www.huntress.com/blog/blackcat-ransomware-affiliate-ttps

Report completeness: Medium

Threats:
Blackcat
Connectwise_rat
Screenconnect_tool
Shadow_copies_delete_technique

Industry:
Healthcare

TTPs:

IOCs:
Url: 1
Path: 3
File: 3
Command: 1
Registry: 1
Hash: 1
IP: 1

Soft:
curl, Windows Defender, psexec

Win API:
NetBIOS

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в расследовании и реагировании на инцидент с атакой программы-вымогателя, осуществленной субъектом угрозы, использующим вариант программы-вымогателя ALPHV/BlackCat в качестве сервиса, нацеленного на конечную точку, связанную со здравоохранением, через скомпрометированный экземпляр ScreenConnect. Инцидент подчеркивает угрозу, исходящую от вариантов RaaS, и важность надежной защиты от кибербезопасности.
-----

19 декабря 2023 года ФБР объявило о прекращении использования варианта программы-вымогателя ALPHV/BlackCat, предлагаемого как "программа-вымогатель как услуга" (RaaS). Для оказания помощи пострадавшим организациям был предоставлен инструмент дешифрования. Позже ConnectWise выявила уязвимости в ScreenConnect версии 23.9.8, что привело к появлению рекомендаций по безопасности. 21 февраля Huntress отправила предупреждение от конечной точки, связанной со здравоохранением, с измененными файлами программы-вымогателя Canary и попыткой развертывания программы-вымогателя. Расследование выявило скомпрометированный экземпляр ScreenConnect и нерегулярный перенос конечной точки. Журналы указывали на законную установку ScreenConnect в ноябре 2021 года, в то время как подозрительная установка была прослежена до марта 2022 года. Последний подключился к REDACTED.ddns.net. Злоумышленник получил доступ к конечной точке, используя скомпрометированный экземпляр ScreenConnect, с журналами, показывающими несанкционированную активность до начала 2024 года. Новый пользователь, chlsln14, выполнял команды для облегчения развертывания программ-вымогателей и их перемещения по сети. Программа-вымогатель содержала встроенные команды для отключения мер безопасности и распространения по всей инфраструктуре. Платформа Huntress обнаружила вредоносные действия, но ни на каких других конечных точках не было обнаружено признаков компрометации или шифрования. Злоумышленник успешно запустил исполняемый файл программы-вымогателя после обхода защитника Windows и предпринял боковое распространение в сети, нацеливаясь на конкретные конечные точки, с которыми была знакома инфраструктура. Инцидент высветил сложность и опасность, которые представляют варианты RaaS, а также необходимость принятия надежных мер кибербезопасности для защиты от таких угроз.

#ParsedReport #CompletenessLow
14-03-2024

Cisco Talos Blog. Not everything has to be a massive, global cyber attack

https://blog.talosintelligence.com/threat-source-newsletter-march-14-2024

Report completeness: Low

Actors/Campaigns:
Yorotrooper (motivation: cyber_espionage)

Threats:
Spectre_rat
Predator_spyware
Intellexa
Chrysaor
Supershell
Scar

Victims:
Change healthcare

Industry:
Financial, Government, Media, Healthcare

Geo:
Israel, Greece, China, America, Americans, California, France, Canada

CVEs:
CVE-2024-2193 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.1
X-Force: Patch: Official fix


ChatGPT TTPs:
do not use without manual check
T1190, T1566, T1059, T1583, T1588, T1021, T1110, T1195

IOCs:
Hash: 10
File: 4

Soft:
Instagram, TikTok, Internet Explorer

Algorithms:
md5

Platforms:
intel, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - обсуждение различных инцидентов и событий в сфере кибербезопасности, включая значительные перебои в обслуживании, новую уязвимость процессора под названием "GhostRace", кибератаку на Change Healthcare, влияющую на сектор здравоохранения, санкции США в отношении консорциума Intellexa, связанного со шпионским ПО Predator, и использование Фреймворк Supershell C2 от таких участников угроз, как YoroTrooper, нацеленный на Содружество независимых стран (СНГ).
-----

В тексте обсуждаются многочисленные инциденты и события в сфере кибербезопасности.

Во-первых, произошли значительные перебои в предоставлении услуг такими компаниями, как AT&T, и крупными платформами социальных сетей, такими как Facebook, Instagram и Threads, что вызвало опасения по поводу скоординированных атак или спонсируемых государством киберкампаний. Федеральная комиссия по связи начала расследование сбоев в работе AT&T, и потребители поспешили высказать предположения и указать пальцем на потенциальных исполнителей угроз, стоящих за этими сбоями.

Кроме того, была обнаружена новая уязвимость под названием "GhostRace", затрагивающая чипы крупных производителей процессоров, таких как Intel, AMD, Arm и IBM. Эта уязвимость, идентифицированная как CVE-2024-2193, потенциально может позволить злоумышленникам красть конфиденциальную информацию из памяти, такую как пароли и ключи шифрования, используя состояние гонки и имея физический или привилегированный доступ к целевому компьютеру. Уязвимость повлияла на различные архитектуры процессоров, поставщиков гипервизоров и операционную систему Linux, требуя от затронутых сторон следовать рекомендациям по защите для снижения рисков.

Более того, сектор здравоохранения столкнулся с проблемами из-за кибератаки на Change Healthcare, дочернюю компанию United HealthGroup Inc., что привело к сбоям в обработке платежей для поставщиков медицинских услуг. Атака, предположительно, с использованием программ-вымогателей, привела, по оценкам, к ежедневным потерям в размере 100 миллионов долларов для провайдеров, которые были не в состоянии осуществлять финансовые транзакции. Некоторые провайдеры столкнулись с задержками в оплате аренды, неоплаченными счетами и ограничениями в обслуживании пациентов, такими как предварительная авторизация и пополнение рецепта. Правительство США объявило о выплатах помощи пострадавшим поставщикам, и были инициированы запросы в Конгресс для дальнейшего расследования инцидента.

Кроме того, США ввели санкции в отношении физических и юридических лиц, связанных с консорциумом Intellexa, который разработал и распространял шпионское ПО Predator. Этот шаг ознаменовал первый случай, когда Министерство финансов публично ввело санкции против организации, занимающейся разработкой шпионского ПО, с целью прекращения деловых взаимодействий с Intellexa и связанными с ней организациями. Шпионские инструменты, такие как Predator, часто используются для нацеливания на лиц с высокой степенью риска, включая политиков, журналистов, активистов и диссидентов, для отслеживания их коммуникаций и передвижений. Администрация Байдена выступила за дальнейшие действия против производителей шпионского ПО, включая хорошо известную группу NSO.

Наконец, в тексте затрагивается фреймворк Supershell C2, подробно описанный в презентации Четана Рагхупрасада, в котором освещаются субъекты угроз, использующие этот фреймворк для создания ботнетов с имплантатами Supershell. За последний год число атак YoroTrooper, ориентированной на шпионаж организации, нацеленной на Содружество независимых стран (СНГ) с 2022 года, увеличилось. Презентация Ашира Малхотры на CARO 2024 будет посвящена кампаниям YoroTrooper, описанию используемых вредоносных программ, вторжениям, нацеленным на сотрудников правительственных учреждений СНГ, и эволюции тактики, используемой злоумышленником.

#ParsedReport #CompletenessLow
15-03-2024

They re watching us: How to detect Pegasus and other spyware on your iOS device?

https://www.group-ib.com/blog/pegasus-spyware

Report completeness: Low

Actors/Campaigns:
Triangulation
Quadream

Threats:
Chrysaor
Spear-phishing_technique
Predator_spyware
Lockdown
Kingspawn
Wyrmspy
Dragonegg

Victims:
Individuals, Apple users, Organizations

Industry:
Government, Healthcare, Financial

Geo:
Israeli

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1588.002, T1407, T1595, T1568.002, T1611, T1608.001, T1590, T1475, T1518.001, have more...

IOCs:
File: 12
Hash: 1

Soft:
WhatsApp, iMessage, iPadOS, Windows Subsystem for Linux, sudo, Android

Languages:
python

Platforms:
apple

Links:
https://github.com/AmnestyTech/investigations
https://github.com/mvt-project/mvt-indicators
https://github.com/blacktop/presentations/blob/main/0x41con\_2023/PDF/AnatomyOfLockdownMode.pdf

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в угрозе, которую представляют шпионские программы, в частности Pegasus, для безопасности и конфиденциальности пользователей устройств iOS и Android. В нем обсуждается, как работает Pegasus, его возможности, методы проникновения и шаги, которые пользователи могут предпринять, чтобы защитить себя от таких угроз. В нем подчеркивается важность обеспечения бдительности в отношении атак программ-шпионов и подчеркивается необходимость эффективной защиты организациями своих мобильных устройств и приложений.
-----

Pegasus, разработанный NSO Group, представляет собой сложную шпионскую программу, способную удаленно собирать конфиденциальную информацию с устройств iOS и Android.

Он имеет возможность удаленно активировать камеры и микрофоны на целевых устройствах для незаконного наблюдения.

Pegasus использует уязвимости нулевого дня, использует обфускацию кода и шифрование для эффективного проникновения на устройства.

NSO Group предоставляет два метода установки Pegasus: метод с нулевым щелчком мыши и метод с одним щелчком мыши.

Что касается устройств iOS, то уязвимости, подобные недостаткам в приложении iMessage, сделали их восприимчивыми к целенаправленным атакам.

Рекомендации по защите от атак программ-шпионов включают в себя отказ от подозрительных ссылок, регулярную проверку разрешений приложений, включение функций безопасности, таких как режим блокировки, и постоянное обновление операционных систем.

Организации могут использовать инструменты анализа угроз, такие как Group-IB Threat Intelligence, для выявления и устранения киберугроз и уязвимостей.

В случае обнаружения скомпрометированного устройства рекомендуется немедленно обратиться за экспертной поддержкой для анализа устройства и принятия дополнительных мер безопасности.

19 марта в 11:00 (МСК) вместе с коллегами из Кода Безопасности расскажем про IoC-и в NGFW.

В этой теме много интересных и не совсем очевидных нюансов.
Думаю, что этот вебминар может быть полезен всем, кто хотел бы начать использовать фиды не только в SIEM|SOAR|TIP, но и сетевых устройствах.

https://my.mts-link.ru/1664385/1346183402