#ParsedReport #CompletenessLow
20-03-2024

Attributing I-SOON: Private Contractor Linked to Multiple Chinese State-sponsored Groups

https://www.recordedfuture.com/attributing-i-soon-private-contractor-linked-chinese-state-sponsored-groups

Report completeness: Low

Actors/Campaigns:
I-soon_leak (motivation: cyber_espionage)
Earth_empusa (motivation: cyber_espionage)
Redhotel (motivation: cyber_espionage)

Threats:
Redalpha

Victims:
Anxun information technology co., ltd. (i-soon)

Industry:
Telco

Geo:
China, Chinese

ChatGPT TTPs:
do not use without manual check
T1583, T1584, T1595, T1608, T0842

IOCs:
Domain: 24
Email: 11
IP: 7

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что результаты исследования Insikt Group раскрывают утечку i-SOON, связывающую китайскую компанию по ИТ и кибербезопасности с финансируемой государством деятельностью по кибершпионажу, в частности с участием таких групп, как RedAlpha, RedHotel и POISON CARP. Эта сложная сеть шпионских операций сосредоточена вокруг кражи телекоммуникационных данных для отслеживания отдельных лиц, выявления организационных и оперативных связей между i-SOON и этими группами кибершпионажа. Утечка информации дает защитникам сетей ценные разведданные, позволяющие понять мотивы и методологии целевых кампаний кибершпионажа. Несмотря на разоблачение, ожидается, что i-SOON продолжит свою деятельность с корректировками, что потенциально приведет к юридическим последствиям и более глубокому пониманию усилий Китая по кибершпионажу. Текущие разработки в области домена и инфраструктуры, связанные с группами, связанными с i-SOON, подчеркивают необходимость постоянной бдительности и принятия упреждающих мер кибербезопасности против спонсируемых государством угроз из Китая.
-----

Новые результаты исследования Insikt Group пролили свет на недавнюю утечку i-SOON, произошедшую 18 февраля 2024 года. Утечка касалась документов Anxun Information Technology Co., Ltd. (i-SOON), китайской компании в области информационных технологий и кибербезопасности, и раскрыла спонсируемую государством деятельность Китая по кибершпионажу. Ключевые разоблачения утечки включают связи между i-SOON и спонсируемыми китайским государством кибергруппировками, такими как RedAlpha, RedHotel и POISON CARP. Это наводит на мысль о сложной сети шпионских операций, связанных с кражей телекоммуникационных данных для отслеживания отдельных лиц.

Проведенный Insikt Group анализ просочившихся материалов подтвердил оперативные и организационные связи между i-SOON и этими группами кибершпионажа, подчеркнув роль digital quartermasters в содействии совместному использованию кибервозможностей в рамках наступательной киберэкосистемы Китая. Информация, полученная в результате утечки, дает ценную информацию сетевым защитникам, позволяя им лучше понять мотивы и методологии целенаправленных кампаний кибершпионажа, нацеленных как на организации государственного, так и частного секторов.

Несмотря на утечку, i-SOON, которая является относительно небольшим игроком в более широкой сети частных подрядчиков Китая, занимающихся спонсируемой государством киберактивностью, как ожидается, продолжит свою деятельность с незначительными корректировками. Раскрытие этих связей может иметь последствия для будущих судебных исков, предпринятых США против персонала i-SOON, а также позволит глубже понять масштабы и изощренность усилий Китая по кибершпионажу.

С тех пор как произошла утечка, группа Insikt уже выявила новые домены и инфраструктурные разработки, связанные с группами, связанными с i-SOON, такими как RedAlpha и RedHotel. Эти события еще больше подчеркивают текущую деятельность этих субъектов угроз и подчеркивают необходимость постоянной бдительности и упреждающих мер кибербезопасности для борьбы с киберугрозами, спонсируемыми государством, исходящими из Китая.

#ParsedReport #CompletenessMedium
20-03-2024

Android malware, Android malware and more Android malware

https://securelist.com/crimeware-report-android-malware/112121

Report completeness: Medium

Actors/Campaigns:
Triangulation

Threats:
Tambir
Godfather
Dwphon
Supply_chain_technique
Triada_trojan
Gigabud_rat
Dexguard_tool
Virbox_tool

Industry:
Retail, Financial, E-commerce, Aerospace

Geo:
Thailand, China, Peru, Chinese, Turkey, Asia, Russian, Turkish, Israeli

ChatGPT TTPs:
do not use without manual check
T1406, T1475, T1583, T1402, T1517, T1422, T1404, T1444, T1608, T1533, have more...

IOCs:
Hash: 9

Soft:
Android, Telegram

Algorithms:
exhibit

Languages:
kotlin

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в распространенности вредоносных атак на мобильные устройства в 2023 году, особенно на устройства Android, с акцентом на три конкретных экземпляра вредоносного ПО для Android - Tambir, Dwphon и Gigabud. Атаки включали в себя такие тактические приемы, как выдача себя за легальные приложения, нацеливание на определенные регионы и кража банковских учетных данных. Это также подчеркивает важность осведомленности пользователей и мер предосторожности для защиты от таких атак.
-----

В 2023 году на мобильных устройствах было заблокировано 33,8 миллиона вредоносных программ, рекламного ПО и рискованных программных продуктов, причем Android был самой популярной мишенью для киберпреступников. Одной из заметных атак была операция Triangulation на iOS, но Android оставался основным объектом внимания злоумышленников. В отчетах были выделены три конкретных экземпляра вредоносного ПО для Android:.

Тамбир: Этот Android-бэкдор был нацелен на пользователей в Турции, выдавая себя за приложение IPTV, в то время как на самом деле функционировал как шпионское ПО. Он собирал SMS-сообщения, нажатия клавиш и многое другое. Приложение запросило разрешение службы специальных возможностей на турецком языке, затем получило адрес C2 из таких источников, как Telegram или ICQ. Tambir мог выполнять более 30 команд, включая ввод с клавиатуры и отправку SMS-сообщений. Было отмечено сходство между Tambir и вредоносной программой GodFather, нацеленной на турецких пользователей и использующей Telegram для поиска C2.

Dwphon: Этот вариант вредоносного ПО был нацелен на мобильные телефоны китайских OEM-производителей, предназначенные для российского рынка. Он также был обнаружен в прошивке детских смарт-часов израильского производителя, продаваемых в Европе и на Ближнем Востоке. Dwphon появился как компонент приложения для обновления системы, собирающего информацию об устройстве и личную информацию, потенциально посредством атаки по цепочке поставок. Вредоносная программа содержала модули для сбора системной информации, данных устройства и включения других приложений. Некоторые образцы содержали троянца Triada, намекающего на связь между Dwphon и Triada.

Gigabud: Обнаруженная в начале 2023 года Android-крыса, в первую очередь нацеленная на кражу банковских учетных данных в Юго-Восточной Азии, прежде чем распространиться на другие страны, такие как Перу. Она маскировалась под приложение для местных авиакомпаний, а позже - под вредоносное ПО для поддельных займов. Написанный на Kotlin и замаскированный с помощью Dexguard и Virbox, Gigabud имитировал приложения компаний в Таиланде и Перу. Он крал учетные данные, отправляя их в C2 после имитации экранов входа в систему и отображал виртуального помощника, который помогал жертвам в подаче заявок на получение кредита. КРЫСА встроила модуль записи экрана и связалась с серверами C2 в Китае.

Кроме того, в 2023 году на Android было нацелено более 1,3 миллиона уникальных вредоносных установочных пакетов, распространяемых различными способами. Пользователям было рекомендовано избегать неофициальных рынков приложений, тщательно проверять разрешения приложений и использовать средства защиты от вредоносных программ для эффективной защиты своих устройств.

#ParsedReport #CompletenessLow
20-03-2024

Python Ciphering : Delving into Evil Ants Ransomwares Tactics. Python Ciphering : Delving into Evil Ant s Ransomware s Tactics

https://labs.k7computing.com/index.php/python-ciphering-delving-into-evil-ants-ransomwares-tactics

Report completeness: Low

Threats:
Evil_ant

ChatGPT TTPs:
do not use without manual check
T1027, T1059, T1497, T1486, T1112, T1082, T1490, T1071

IOCs:
File: 1
Hash: 1
Email: 1
Coin: 1

Soft:
pyinstaller, Windows Defender, Telegram

Crypto:
bitcoin

Functions:
MAGIC, ALL, getlogin, bak, unlock

Win API:
ShellExecuteW

Languages:
powershell, python

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, code: 12, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте описывается поведение и функциональные возможности программы-вымогателя Evil Ant, подчеркивается использование языка программирования Python, скрытые операции, методы шифрования, особенности взаимодействия с пользователем и процесс дешифрования с использованием жестко закодированного ключа разблокировки.
-----

Недавно K7Labs наткнулась на твит, в котором упоминается программа-вымогатель Evil Ant, член группы программ-вымогателей, использующая Python в качестве языка программирования. Программа-вымогатель работает скрытно, скрывая окно консоли и запускаясь в фоновом режиме с помощью Windows DLL API. Чтобы избежать обнаружения, Evil Ant отключает защитник Windows с помощью команды PowerShell и проверяет наличие контролируемой среды, используя переменную окружения PROCESSOR_IDENTIFIER, прежде чем продолжить. При обнаружении на виртуальной машине программа-вымогатель завершает выполнение.

Evil Ant генерирует уникальный ключ, используя Fernet для шифрования файлов жертвы. Ключ создается и сохраняется в глобальной переменной методом MAGIC(), что облегчает его использование в других функциях. Функция ALL() сканирует и шифрует файлы в указанных каталогах на компьютере жертвы, в том числе в папке Users, извлекая текущее имя пользователя с помощью функции getlogin() из модуля os на Python. Шифрование выполняется с использованием библиотеки Fernet для криптографии.

Кроме того, программа-вымогатель включает в себя функции, направленные на привлечение внимания пользователя и посеяние паники. Он изменяет обои рабочего стола жертвы, отображает обратный отсчет в правом верхнем углу и включает кнопку "как купить биткоин", при нажатии на которую открывается ряд ссылок на Википедию с использованием библиотеки webbrowser на Python. Evil Ant также включает функцию дешифрования, но если процесс дешифрования прерывается из-за выключения системы, он завершается необратимым сбоем.

В случае оплаты жертва получает ключ разблокировки для расшифровки своих файлов. Этот ключ жестко закодирован злоумышленником в образце программы-вымогателя, и введенный пользователем ключ должен совпадать с жестко закодированным ключом для успешной расшифровки.

#ParsedReport #CompletenessLow
20-03-2024

Tax scammer goes after small business owners and self-employed people

https://www.malwarebytes.com/blog/uncategorized/2024/03/tax-scammer-goes-after-small-business-owners-and-self-employed-people

Report completeness: Low

Threats:
Phisher

Victims:
Self-employed individuals, Small business owners

Industry:
Financial, Government

ChatGPT TTPs:
do not use without manual check
T1566, T1595, T1589, T1606

IOCs:
Email: 1

Soft:
audacity

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - о недавней налоговой афере, нацеленной на самозанятых и владельцев малого бизнеса, когда мошенники рассылают обманчивые электронные письма с инструкциями получателям быстро подать заявку на получение идентификационного номера работодателя в Налоговой службе США (EIN). В нем предупреждается о рисках кражи личных данных и мошенничества, которые могут возникнуть, если отдельные лица воспользуются этими мошенническими электронными письмами, и подчеркивается важность бдительности, осторожности и упреждающих мер для защиты безопасности персональных данных.
-----

В тексте освещается недавняя афера, связанная с налогообложением, когда мошенники нацелены на самозанятых и владельцев малого бизнеса, отправляя электронные письма с инструкциями получателям быстро подать заявку на получение своего EIN в IRS /Федерального налогового идентификационного номера. EIN, который расшифровывается как идентификационный номер работодателя, используется различными организациями для целей налогообложения. Мошенники, вероятно, получили адреса электронной почты, соответствующие определенному профилю, например, самозанятых жителей США, возможно, через брокеров данных или темную сеть. Мошенничество не требует обширной информации о целях и может привести к краже личных данных и мошенничеству, особенно в сочетании со скомпрометированными номерами социального страхования.

Подчеркивается, что Налоговое управление США не запрашивает личную или финансовую информацию по электронной почте, текстовым сообщениям или в социальных сетях, включая пароли или информацию о доступе. Получателям рекомендуется не вступать в контакт с отправителем, не переходить по ссылкам и не открывать вложения, а также сообщать о фишинговых письмах по адресу phishing@irs.gov без изменения исходного содержимого. Клиенты Malwarebytes Премиум-класса с включенной веб-защитой защищены от этого мошенничества. Кроме того, физические лица могут использовать сканирование цифрового следа, чтобы узнать, какая часть их данных доступна онлайн, указав адрес электронной почты для получения бесплатного отчета.

Таким образом, мошенничество нацелено на частных лиц с помощью вводящих в заблуждение электронных писем, касающихся идентификационных номеров IRS EIN /Federal tax ID, используя их недостаточную осведомленность об официальных протоколах связи IRS. В тексте подчеркивается важность бдительности и осторожности при работе с нежелательными электронными письмами и даются рекомендации по упреждающим мерам, таким как сообщение о подозрительных действиях и использование защитных инструментов, таких как сканирование цифрового следа, для обеспечения безопасности персональных данных.

#cyberthreattech

Стиллеры любят пользоваться TG как c2, либо отстукивать в бота инфу о машине, где они поднялись.
В сканах песочниц эта сетевая коммуникация появляется при анализе ВПО с таким поведением.
Т.к. мы собираем сканы с пачки online-песочниц, то получаем соответствующие вызовы к API Telegram.

Сейчас мы допилили наш механизм проверок URL (да, мы честно переходим по всем вредоносным ссылкам, за что поставщики облачных услуг осыпают нас отбойниками :) ) и теперь он корректно проверят валидность URL вида https://api.telegram.org/bot<id>:<secret>, делая запрос к /getMe. Такой запрос позволяет точно установить жив ли бот и валиден ли секрет. Результат проверки, естественно, влияет на score IoC.

В нашем фиде такие URL можно найти под тегом c2.

#ParsedReport #CompletenessHigh
21-03-2024

Cloud Werewolf attacks civil servants in Russia and Belarus with treatment vouchers and orders from federal services

https://bi.zone/expertise/blog/cloud-werewolf-atakuet-gossluzhashchikh-rossii-i-belarusi-putevkami-na-lechenie-i-prikazami-sluzhb

Report completeness: High

Actors/Campaigns:
Cloudatlas (motivation: cyber_espionage)

Threats:
Powershower
Lazagne_tool
Anydesk_tool
Spear-phishing_technique

Industry:
Government

Geo:
Belarusian, Russian, Russia, Belarus

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)


TTPs:
Tactics: 6
Technics: 15

IOCs:
File: 4
Registry: 3
Path: 1
Url: 1
Hash: 3
Domain: 3

Soft:
Microsoft Office, Component Object Model

Algorithms:
7zip, xor

Languages:
python, visual_basic

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Cloud Werewolf cluster, группа угроз, нацеленная на правительственные организации в России и Беларуси, проводит новую фишинговую кампанию с использованием вредоносных вложений в документы Microsoft Office. Группа использует удаленный сервер для размещения полезной нагрузки в обход мер безопасности и использует уязвимость Microsoft Office для выполнения вредоносных действий. Эта кампания проводится с февраля и нацелена по меньшей мере на пять организаций. Группа, действующая с 2014 года, известна своей шпионской деятельностью и использует различные инструменты и методы для последующей эксплуатации, что затрудняет ее обнаружение.
-----

Cloud Werewolf cluster, группа угроз, известная тем, что нацелена на правительственные организации в России и Беларуси, проводит новую кампанию, включающую фишинговые электронные письма с вредоносными вложениями в документы Microsoft Office. Эта кампания обнаружена BI.ZONE Threat Intelligence specialists, действовала с февраля по март и нацелилась по меньшей мере на пять организаций. Злоумышленники используют соответствующие темы, чтобы увеличить шансы жертв на открытие вредоносных вложений.

Одним из примечательных аспектов этой кампании является использование удаленного сервера для размещения вредоносной полезной нагрузки, что позволяет злоумышленникам обходить меры безопасности, применяемые целевыми организациями. Извлекая шаблон документа с удаленного сервера, злоумышленники используют уязвимость CVE-2017-11882, присутствующую в Microsoft Office, для выполнения вредоносных действий.

После успешного использования уязвимости злоумышленники расшифровывают вредоносную полезную нагрузку, содержащуюся в шелл-коде, с помощью операции XOR. Затем они загружают HTA-файл, содержащий скрипт Visual Basic, с удаленного сервера, манипулируют настройками окна и устанавливают связь с сервером управления, создавая и изменяя различные файлы в системе жертвы.

Кластер Cloud Werewolf, также известный как Inception и Cloud Atlas, действует по меньшей мере с 2014 года и фокусируется на шпионской деятельности, нацеленной на правительственные, промышленные и научные организации. Они используют различные инструменты и методы во время последующей эксплуатации, включая PowerShower и VBShower для эксфильтрации, скрипты на Python, LaZagne для сбора учетных данных, расширенный IP-сканер для разведки и AnyDesk в качестве резервного канала доступа. Кластер умеет заметать следы, используя методы закрепления конечных точек, которые сложно обнаружить с помощью традиционных средств защиты.

#ParsedReport #CompletenessMedium
20-03-2024

New Sysrv Botnet Variant Makes Use of Google Subdomain to Spread XMRig Miner

https://www.imperva.com/blog/new-sysrv-botnet-variant-makes-use-of-google-subdomain-to-spread-xmrig-miner

Report completeness: Medium

Threats:
Sysrv_botnet
Xmrig_miner
Upx_tool

Geo:
Malaysian

CVEs:
CVE-2017-9805 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- apache struts (2.3.1.1, 2.5.9, 2.2.3.1, 2.3.28, 2.3.15, 2.5.2, 2.3.14, 2.3.32, 2.2.1, 2.3.16, 2.5.10, 2.3.24.1, 2.5.6, 2.1.8.1, 2.3.3, 2.3.16.3, 2.3.4, 2.1.3, 2.1.2, 2.1.5, 2.3.24.3, 2.3.15.2, 2.3.29, 2.3.14.3, 2.1.8, 2.3.4.1, 2.3.20.1, 2.3.8, 2.3.30, 2.3.7, 2.3.24, 2.5.1, 2.3.28.1, 2.5.4, 2.3.14.2, 2.3.20.3, 2.5.7, 2.5.5, 2.3.15.1, 2.3.1, 2.3.16.2, 2.1.6, 2.5.3, 2.2.3, 2.3.12, 2.1.4, 2.2.1.1, 2.3.1.2, 2.3.31, 2.3.20, 2.3.15.3, 2.5.10.1, 2.3.16.1, 2.5.8, 2.3.14.1, 2.3.33, 2.5.12, 2.5.11)

CVE-2023-22527 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- atlassian confluence data center (<8.5.4, 8.0.3, 8.3.1, 8.1.4, 8.3.4, 8.4.2, 8.0.2, 8.2.3, 8.5.3, 8.3.3, 8.3.0, 8.5.2, 8.1.3, 8.2.0, 8.4.5, 8.3.2, 8.5.1, 8.0.1, 8.2.1, 8.4.1, 8.0.0, 8.1.0, 8.4.4, 8.4.3, 8.4.0, 8.5.0, 8.2.2, 8.5, <8.7.1, 8.7.0)

CVE-2021-26084 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- atlassian confluence server (<7.12.5, <7.4.11, <7.11.6, <6.13.23)
- atlassian confluence data center (<7.12.5, <7.11.6, <7.4.11, <6.13.23)


ChatGPT TTPs:
do not use without manual check
T1566.001, T1190, T1583.001, T1547.001, T1027, T1041, T1496, T1070.004, T1059.004

IOCs:
Url: 7
IP: 1
Coin: 1
Hash: 6

Soft:
Apache Struts, Confluence

Algorithms:
md5

Languages:
golang

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Ботнет Sysrv - это постоянная и развивающаяся угроза, которая действует путем сброса криптоминеров на зараженные хосты, используя уязвимости для распространения по сетям. Недавние выводы Imperva выявили подозрительные действия, нацеленные на веб-сайты по всему миру, использующие скомпрометированный домен малазийского академического учреждения. Анализ образцов вредоносного ПО показывает, что ботнет использует скрипт-дроппер и усовершенствования в последнем варианте, такие как развертывание нескольких файлов ELF для сохранения и подключение к потокам майнинга MoneroOcean. Этот случай подчеркивает адаптивность субъектов киберугроз и необходимость постоянного сбора информации об угрозах и принятия упреждающих мер безопасности для противодействия возникающим угрозам из, казалось бы, законных источников.
-----

Ботнет Sysrv, первоначально идентифицированный в 2020 году, представляет собой хорошо документированную угрозу, которая развивалась на протяжении многих лет. В основном он работает путем сброса криптоминера на зараженные хосты и распространения различными методами, включая использование сетевых уязвимостей. Исследователи из разных организаций тщательно изучили этот ботнет и его деятельность.

Недавно Imperva Threat Research обнаружила подозрительное поведение, связанное с ботнетом, где заблокированные HTTP-запросы предполагали, что трафик ботов нацелен на многочисленные сайты по всему миру. Эти запросы были направлены на использование известных веб-уязвимостей в программном обеспечении, таком как Apache Struts и Atlassian Confluence. Интересным аспектом было использование законного домена, принадлежащего малазийскому академическому учреждению, возможно, скомпрометированного операторами ботнета для размещения вредоносного контента.

В ходе своего расследования Imperva проанализировала образцы вредоносных программ, размещенных на скомпрометированном сайте, и обнаружила скрипт dropper bash с именем "ldr.sh", напоминающий предыдущие версии ботнета Sysrv. Этот скрипт содержит переменные для загрузки двоичного файла второго этапа, а также функции для уничтожения процессов, связанных с программным обеспечением безопасности и предыдущими заражениями вредоносными программами. Последняя версия скрипта включает дополнительные функции для подготовки различных архитектур процессоров к операциям интеллектуального анализа данных.

Значительный прогресс в последней версии Sysrv виден в улучшениях, внесенных в исходный двоичный файл, удаленный на зараженных хостах. Этот статически связанный двоичный файл Golang, упакованный с помощью UPX packer, развертывает несколько файлов ELF в файловой системе для сохранения. Разработчики вредоносного ПО внедрили обфускацию в двоичный файл, чтобы затруднить восстановление файловой структуры, но динамический анализ выявил новое поведение, например, загрузку майнера XMRig с поддомена Google. Этот майнер подключается к потокам майнинга MoneroOcean и ежегодно генерирует значительное количество криптовалюты.

Расследование подчеркивает адаптивность участников угроз, таких как те, кто стоит за Sysrv, которые используют, казалось бы, законные домены для маскировки вредоносных действий. Это подчеркивает важность того, чтобы службы безопасности сохраняли бдительность, поскольку вредоносные файлы могут быть доставлены из надежных источников. Очевидно, что субъекты киберугроз постоянно совершенствуют свою тактику, чтобы избежать обнаружения, подчеркивая решающую роль постоянной разведки угроз и упреждающих мер безопасности в борьбе с такими угрозами.