#ParsedReport #CompletenessLow
03-05-2024

Watch out for tech support scams lurking in sponsored search results

https://www.malwarebytes.com/blog/news/2024/05/watch-out-for-tech-support-scams-lurking-in-sponsored-search-results

Report completeness: Low

Threats:
Teamviewer_tool
Logmein_tool

Victims:
Users clicking on malicious ads

Industry:
Financial

Geo:
Australia, Canada

ChatGPT TTPs:
do not use without manual check
T1204, T1497, T1566, T1059, T1547

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в угрозе, исходящей от злоумышленников, которые манипулируют результатами спонсируемого поиска, чтобы обманом заставить пользователей переходить по мошенническим объявлениям, что приводит к потенциальному взлому системы и мошенничеству, такому как мошенничество с технической поддержкой. В нем также подчеркиваются шаги, которые отдельные лица могут предпринять, чтобы смягчить последствия того, что они становятся жертвами подобных мошенничеств, и важность повышения осведомленности, чтобы другие не становились их жертвами.
-----

Спонсируемые результаты поиска - это рекламные объявления, отображаемые в верхней части результатов поиска с пометкой "Спонсируемые". Как правило, бренды платят за эти рекламные объявления, чтобы привлечь трафик на свои веб-сайты. Однако злоумышленники могут переплачивать за законные бренды, чтобы их мошеннические объявления появлялись в списке первыми. Эти вредоносные рекламные объявления часто выдаются за законные бренды, что заставляет пользователей переходить по ним обманом. При переходе по этим объявлениям системы пользователей могут подвергаться дактилоскопии для определения наиболее выгодного последующего действия.

Например, пользователи в системах Windows, которые нажимают на эти вредоносные объявления, могут быть перенаправлены на мошеннические веб-сайты технической поддержки. Эти мошеннические сайты используют такие тактические приемы, как отображение всплывающих окон со срочными сообщениями, звуковых фрагментов и подсказок, предписывающих пользователям позвонить по определенному номеру, утверждая, что их системы заражены вредоносным ПО. Мошенники выдают себя за известные компании, такие как Microsoft, и заставляют жертв платить непомерные суммы за поддельные услуги по удалению вредоносных программ.

Чтобы избежать последствий, связанных с тем, что вы становитесь жертвой подобных мошенничеств, физическим лицам рекомендуется предпринять определенные действия. Во-первых, им следует отменить любой удаленный доступ, который мог получить мошенник, путем перезагрузки своих компьютеров. Также рекомендуется выполнить проверку на наличие вредоносных программ с помощью таких инструментов, как Malwarebytes, для обнаружения и удаления любых угроз, которые могли быть установлены. Кроме того, изменение всех паролей, включая логин Windows, учетные записи электронной почты и банковские данные, имеет решающее значение для защиты личной информации.

В случае, если мошенник получил доступ к системе пользователя с помощью приложений для удаленного рабочего стола, таких как TeamViewer, пользователям рекомендуется записать идентификатор TeamViewer и сообщить об этом в соответствующую службу поддержки. Эта информация поможет предотвратить попытки несанкционированного доступа в будущем. Аналогичным образом, если такие сервисы, как LogMeIn, использовались не по назначению, пользователи должны сообщать об этом.

Кроме того, важно повышать осведомленность друзей, членов семьи и других лиц о том, как они становились жертвами подобных мошенничеств. Хотя признание в том, что они были обмануты, может вызывать дискомфорт, информирование других может помочь предотвратить подобные инциденты и удержать мошенников от поиска новых жертв.

#ParsedReport #CompletenessHigh
03-05-2024

Router Roulette: Cybercriminals and Nation-States Sharing Compromised Networks

https://www.trendmicro.com/en_us/research/24/e/router-roulette.html

Report completeness: High

Actors/Campaigns:
Fancy_bear (motivation: cyber_criminal, cyber_espionage)
Sandworm
Duke (motivation: cyber_criminal)

Threats:
Residential_proxy_technique
Spear-phishing_technique
Ngioweb
Ramnit
Cyclops_blink
Vpnfilter
Sshdoor
Xmrig_miner
Microsocks_tool

Victims:
Ubiquiti, Government officials

Industry:
Government, Healthcare

Geo:
Ukrainian, Canadian

ChatGPT TTPs:
do not use without manual check
T1583, T1584, T1071, T1133, T1090, T1568

IOCs:
IP: 10
Hash: 27
Domain: 37

Soft:
OpenSSH, EdgeOS, outlook

Crypto:
monero

Algorithms:
bcrypt

Functions:
auth_password

Languages:
python

Platforms:
arm

Links:
https://github.com/rofl0r/microsocks
https://github.com/jivoi/openssh-backdoor-kit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: В записи блога освещаются угрозы, исходящие от киберпреступников и представителей национальных государств, которые эксплуатируют маршрутизаторы, подключенные к Интернету, с акцентом на использование Pawn Storm скомпрометированных Ubiquiti EdgeRouters в преступной деятельности. В статье описываются технические аспекты ботнета, проблемы при обнаружении таких угроз, а также юридические и технические ограничения, с которыми сталкиваются правоохранительные органы при полном уничтожении ботнета. В нем подчеркивается важность обеспечения безопасности маршрутизаторов, подключенных к Интернету, для защиты от групп APT и киберпреступников, а также приводятся индикаторы компрометации и рекомендации для сетевых защитников.
-----

Компания Pawn Storm эксплуатирует Ubiquiti EdgeRouters, используя их в качестве уровней анонимизации для вредоносных действий.

Ботнет, управляемый Pawn Storm, был взломан ФБР в январе 2024 года, но некоторые скомпрометированные устройства продолжали работать.

Технические аспекты ботнета включают использование компонентов вредоносного кода, таких как скрипты bash и Python, двоичных файлов Linux, таких как SSHDoor, для несанкционированного доступа и утечки данных.

Проблемы при обнаружении этих угроз выделяются из-за их сходства с законными реализациями SSH.

Обнаружение дополнительных ботнетов Linux, работающих на EdgeRouters, указывает на потенциальную связь с коммерчески доступными локальными ботнетами.

Несмотря на попытки демонтажа, Pawn Storm сохраняет доступ к скомпрометированным активам, таким как EdgeServers.

Вредоносные действия, осуществляемые через скомпрометированные маршрутизаторы, включают фишинговые кампании, нацеленные на государственных чиновников и пользователей веб-почты.

Киберпреступники и APT-группы используют инструменты анонимизации, такие как VPN-сервисы и локальные прокси-сети, чтобы сочетать вредоносные действия с законным трафиком.

Важность защиты маршрутизаторов, подключенных к Интернету, особенно маршрутизаторов SOHO, обусловлена уязвимостью к злоупотреблениям, учетными данными по умолчанию и отсутствием контроля безопасности.

К признакам компрометации относятся серверы управления, IP-адреса, связанные с вредоносными действиями, и исходящие IP-адреса, используемые Pawn Storm.

Сетевым защитникам рекомендуется принимать упреждающие меры безопасности и осуществлять постоянный мониторинг для защиты от групп APT и киберпреступников, нацеленных на маршрутизаторы, подключенные к Интернету.

#ParsedReport #CompletenessLow
03-05-2024

New "Goldoon" Botnet Targeting D-Link Devices

https://www.fortinet.com/blog/threat-research/new-goldoon-botnet-targeting-d-link-devices

Report completeness: Low

Threats:
Goldoon

Victims:
D-link devices

CVEs:
CVE-2015-2051 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dlink dir-645 firmware (le1.04b12)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1105, T1070.004, T1027, T1136, T1041, T1498

IOCs:
IP: 3
File: 1
Hash: 23

Soft:
WolfSSL, crontab

Algorithms:
xor

Functions:
GetDeviceSettings

Platforms:
mips, m68k, riscv64, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе ботнета Goldoon, который использует уязвимость почти десятилетней давности в устройствах D-Link (CVE-2015-2051) для выполнения произвольных команд, получения контроля над устройствами и запуска различных вредоносных действий, включая распределенный отказ в обслуживании (DDoS) нападения. Вредоносная программа демонстрирует сложное поведение, использует шифрование и несколько методов автозапуска для обеспечения стойкости, демонстрируя широкий спектр возможностей для вредоносных действий. В тексте также подчеркивается важность своевременного применения исправлений для снижения рисков безопасности и защиты от возникающих угроз, таких как Goldoon.
-----

Недавно FortiGuard Labs обнаружила новый ботнет под названием "Goldoon", нацеленный на уязвимость почти десятилетней давности в устройствах D-Link, в частности CVE-2015-2051. Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольные команды с помощью действия GetDeviceSettings в интерфейсе HNAP, что позволяет им создавать обработанные HTTP-запросы с вредоносными командами. Ботнет использует эту уязвимость для распространения, и в апреле наблюдался всплеск активности. После взлома злоумышленники могут получить полный контроль над устройствами, извлекая системную информацию и используя ее для запуска дополнительных атак, таких как распределенный отказ в обслуживании (DDoS).

Ботнет Goldoon инициирует свою атаку, используя CVE-2015-2051 для загрузки файла под названием "dropper" с определенного URL-адреса. Этот скрипт предназначен для загрузки, выполнения и удаления потенциально вредоносных файлов в различных архитектурах Linux, используя различные методы, позволяющие избежать обнаружения. Загруженный файл с именем "goldoon" запускается сразу после загрузки с изменениями разрешений, а затем удаляются все следы его активности для повышения скрытности.

При анализе вредоносного ПО было обнаружено, что оно обладает различными функциями, включая инициализацию аргументов, установление постоянных соединений с серверами управления (C2) и ожидание команд для выполнения соответствующих действий. Вредоносная программа устанавливает шифрование с помощью "wolfSSL" и настраивает DNS-серверы Google для разрешения DNS-запросов, чтобы облегчить свои атаки.

Goldoon включает в себя десять различных методов автозапуска, разделенных на загрузочное выполнение, выполнение с помощью демона и выполнение при входе в систему, что гарантирует его выполнение при запуске компьютера жертвы или при входе пользователя в систему. Вредоносная программа настойчиво пытается подключиться к своему серверу C2, собирая системную информацию и получая команды для последующих действий, включая запуск различных типов атак по различным каналам.

В одном случае вредоносная программа Goldoon демонстрирует 27 различных методов, связанных с проведением атак, таких как синхронизация TCP и запуск DoS-атак, нацеленных на распространенные протоколы, такие как Minecraft. Вредоносная программа использует различные тактики и пакеты для выполнения атак, демонстрируя широкий спектр возможностей для вредоносной деятельности.

Хотя CVE-2015-2051 является более старой уязвимостью с низкой сложностью атаки, ее использование может привести к серьезным последствиям для безопасности, позволяя удаленно выполнять код и подключать скомпрометированные устройства к ботнетам, таким как Goldoon. Для снижения таких рисков крайне важно своевременно устанавливать исправления и обновления, учитывая постоянное развитие и внедрение новых ботнетов, использующих аналогичные уязвимости. FortiGuard Labs подчеркивает важность упреждающих мер кибербезопасности для защиты от возникающих угроз и постоянной разработки сложных вредоносных программ, таких как Goldoon.

#ParsedReport #CompletenessMedium
06-05-2024

Sample templates abused in recent Gootloader campaign

https://fieldeffect.com/blog/sample-templates-targeted-in-recent-gootloader-campaign

Report completeness: Medium

Threats:
Gootkit
Seo_poisoning_technique

Victims:
Nils japanese language school

Industry:
Financial

Geo:
Japanese

ChatGPT TTPs:
do not use without manual check
T1566.002, T1190, T1059.007, T1059.001, T1105, T1027, T1071.001

IOCs:
Url: 3
Path: 1
IP: 28
File: 4

Algorithms:
zip

Languages:
javascript, powershell, cscript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что аналитики Field Effect security intelligence выявили растущую угрозу со стороны вредоносного ПО Gootloader, которое использует обманную тактику, такую как поисковая оптимизация (SEO), для проникновения в организации из различных отраслей. Gootloader возник как банковский троян GootKit и теперь служит важным инструментом для взлома сетей злоумышленниками, уделяя особое внимание манипулированию поисковым поведением пользователей с целью распространения контента, зараженного вредоносным ПО. Адаптивность вредоносного ПО и его успешное использование человеческих склонностей с помощью SEO-манипуляций сделали его постоянной угрозой в киберпространстве.
-----

Аналитики Field Effect security intelligence обнаружили множество инцидентов, связанных с использованием вредоносного ПО Gootloader, нацеленного на организации из различных отраслей.

Gootloader произошел от банковского трояна GootKit и в настоящее время представляет собой серьезную угрозу, часто используемую злоумышленниками для проникновения в целевые сети.

Gootloader использует методы поисковой оптимизации (SEO) для проникновения в системы жертв, манипулируя результатами поиска и направляя пользователей на скомпрометированные веб-сайты, на которых размещено вредоносное ПО.

Gootloader может извлекать дополнительные полезные данные для облегчения вредоносных операций, таких как утечка данных или шифрование файлов с целью получения выкупа, после их развертывания на конечной точке.

Gootloader перехватывает поисковые запросы пользователей, размещает вредоносные документы на законных веб-сайтах, на которых размещен соответствующий контент, и использует склонность пользователей к поиску примеров с помощью поисковых систем, таких как Google.

В одном инциденте, подробно описанном аналитиками Field Effect, взаимодействие с вредоносным файлом JavaScript, размещенным на внешнем URL-адресе, привело к активации Gootloader, что позволило загрузить дополнительные вредоносные файлы.

Gootloader расширил сферу своей деятельности, выйдя за рамки стандартных шаблонов юридических документов, и включил в нее такие отрасли, как недвижимость и юридические услуги, что свидетельствует о гибкости и настойчивости в использовании человеческого поведения посредством манипулирования поисковыми системами.

Успех Gootloader заключается в том, что он использует человеческие склонности и поисковые привычки, обеспечивая непрерывное использование до тех пор, пока сохраняется такая возможность.

#ParsedReport #CompletenessMedium
03-05-2024

An Update on Akira Ransomware

https://explore.avertium.com/resource/an-update-on-akira-ransomware

Report completeness: Medium

Threats:
Akira_ransomware
Megazord
Kerberoasting_technique
Mimikatz_tool
Lazagne_tool
Powertool_tool
Anydesk_tool
Mobaxterm_tool
Rustdesk_tool
Shadow_copies_delete_technique

Victims:
4leaf, Park-rite, Family day care services, Bridgevalley community and technical college, Uk-based architecture firm, Us-based it services company, European pharmaceutical company

Industry:
Financial, Healthcare

Geo:
Australia, Canadian, American, America, Netherlands

ChatGPT TTPs:
do not use without manual check
T1566, T1210, T1110, T1486, T1485

IOCs:
File: 1
Hash: 34

Soft:
ESXi, Local Security Authority, WinSCP

Algorithms:
sha1, md5, chacha20, sha256

Languages:
powershell, rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении и эволюции группы программ-вымогателей Akira, ее тактике, нацеленной на малый и средний бизнес, значительном влиянии, которое она оказала, заработав миллионы на выплате выкупа и взломе многочисленных объектов, ее переходе на виртуальные машины VMware ESXi с версией Linux, инструментах, которые она использовала. например, инструмент шифрования Megazord и совместное руководство, выпущенное агентствами кибербезопасности и исследователями для устранения угроз, исходящих от Akira. В тексте также подчеркивается важность внедрения рекомендуемых мер безопасности, проведения аудитов безопасности, использования средств контроля доступа, обновления программного обеспечения, сегментации сети и создания резервных копий для защиты от атак программ-вымогателей, подобных тем, которые были проведены Akira.
-----

В отчете Threat Intelligence, подготовленном командой Avertium по анализу киберугроз весной 2023 года, говорилось о появлении группы программ-вымогателей Akira, нацеленной на малый и средний бизнес и требующей выкуп в размере от 50 000 до 500 000 долларов. Акира использовал такие тактики, как фишинговые электронные письма, использование уязвимостей в программном обеспечении и RDP-атаки методом перебора, чтобы получить доступ к системам жертв. К весне 2024 года Акира привлек к себе внимание, заработав около 42 миллионов долларов на выплате выкупа и взломав более 250 организаций на разных континентах.

Эволюция Akira включала в себя смещение акцента на виртуальные машины VMware ESXi с использованием версии Linux, которая изначально предназначалась для систем Windows. Группа программ-вымогателей внедрила Megazord, инструмент шифрования на основе Rust, изменив расширения файлов с .akira на .powerranges. Рекомендации по защите от атак Akira включали проведение аудита безопасности, внедрение контроля доступа, обновление программного обеспечения, использование многофакторной аутентификации, сегментацию сетей и ведение автономного резервного копирования.

В 2023 году Akira взяла на себя ответственность за атаки на такие компании, как 4LEAF, Park-Rite и Family Day Care Services, с требованием выкупа и продажей данных в даркнете. В 2024 году ФБР, CISA, EC3 и NCSC-NL выпустили совместное консультативное заключение, в котором подчеркивается влияние Akira на бизнес и критически важную инфраструктуру, включая переход на системы Linux и использование передовых схем шифрования. Тактика Акиры включала в себя средства разведки, проверку учетных данных, каналы командования и контроля, а также гибридные методы шифрования.

Совместные усилия агентств по кибербезопасности и исследователей повысили осведомленность о стратегиях Akira, подчеркнув необходимость упреждающих защитных мер и устойчивых протоколов кибербезопасности. Организациям рекомендуется опережать такие угрозы, как Akira, применяя рекомендуемые меры безопасности, включая всесторонний аудит, контроль доступа, внесение исправлений, сегментацию сети, мониторинг и резервное копирование. Для компаний крайне важно уделять приоритетное внимание кибербезопасности и применять проактивные стратегии защиты, чтобы снизить риски, связанные с такими группами программ-вымогателей, как Akira.

#ParsedReport #CompletenessLow
06-05-2024

JFrog Security research discovers coordinated attacks on Docker Hub that planted millions of malicious repositories

https://jfrog.com/blog/attacks-on-docker-with-millions-of-malicious-repositories-spread-malware-and-phishing-scams

Report completeness: Low

Threats:
Supply_chain_technique

Victims:
Docker hub

ChatGPT TTPs:
do not use without manual check
T1190, T1566, T1587, T1608, T1193

IOCs:
Url: 4
Domain: 35
File: 2

Soft:
Docker, NuGet, zoom, Embarcadero RAD, NET framework, Windows registry, Ubuntu

Languages:
python, delphi, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: JFrog и Docker объединили усилия для борьбы с вредоносными программами и фишинговыми угрозами в репозиториях Docker Hub путем обнаружения и удаления миллионов вредоносных репозиториев, подчеркивая важность постоянного мониторинга и совместной работы для повышения безопасности цепочки поставок программного обеспечения.
-----

JFrog и Docker, как ключевые элементы экосистемы программного обеспечения, объединили усилия для борьбы с распространением вредоносных программ и фишинговой активности в репозиториях Docker Hub. Исследовательская группа JFrog по безопасности тщательно отслеживает реестры программного обеспечения с открытым исходным кодом для упреждающего обнаружения и устранения потенциальных угроз, выявив три крупномасштабные кампании вредоносного ПО, нацеленные на Docker Hub. Эти кампании включали в себя создание миллионов репозиториев без изображений с вредоносными метаданными, составляющих почти 20% всех общедоступных репозиториев на Docker Hub.

Одна из выявленных кампаний, известная как кампания "Загрузчик", распространяла вредоносный исполняемый файл, обнаруженный антивирусными системами как обычный троян. Вредоносная программа взаимодействовала с сервером управления (C2C), получая системную информацию, загружая дополнительные вредоносные двоичные файлы и потенциально участвуя в рекламных программах или схемах монетизации. В рамках кампании использовались поддельные средства сокращения URL-адресов для перенаправления пользователей на вредоносный контент, а второй раунд в 2023 году был направлен на то, чтобы избежать обнаружения, указав на законные ресурсы в качестве перенаправлений на вредоносные источники.

Другая кампания превратила Docker Hub в "пиратскую библиотеку электронных книг", предлагающую бесплатную загрузку электронных книг с целью получения фишинговых данных о кредитных картах. Кроме того, в кампании под названием "Оптимизатор веб-сайта" использовались хранилища, в которых размещался, казалось бы, случайный контент, который, возможно, служил предвестником более вредоносных действий.

Сотрудничество JFrog с Docker привело к быстрому удалению из Docker Hub 3,2 миллиона репозиториев, подозреваемых в размещении вредоносного или нежелательного контента, что подчеркивает важность постоянного мониторинга и модерации на таких платформах. В Docker Hub есть специальные теги для надежного контента, позволяющие пользователям идентифицировать проверенные и спонсируемые репозитории, чтобы снизить риск обнаружения вредоносных ссылок.

Сообщая о своих выводах команде безопасности Docker и активно внося свой вклад в обеспечение безопасности экосистемы Docker, исследовательская группа JFrog по безопасности играет решающую роль в расширении возможностей безопасности платформы цепочки поставок программного обеспечения JFrog. Распространенность вредоносных хранилищ в Docker Hub подчеркивает сохраняющуюся проблему борьбы с киберугрозами в цепочке поставок программного обеспечения и необходимость совместных усилий для защиты пользовательской среды.

#ParsedReport #CompletenessHigh
06-05-2024

Uncharmed: Untangling Iran's APT42 Operations

https://cloud.google.com/blog/topics/threat-intelligence/untangling-iran-apt42-operations

Report completeness: High

Actors/Campaigns:
Apt42 (motivation: cyber_espionage)
Charming_kitten

Threats:
Nicecurl_backdoor
Tamecat
Spear-phishing_technique
Credential_harvesting_technique
Typosquatting_technique

Victims:
Ngos, Media organizations, Academia, Legal services, Activists, Researchers, Journalists, Government sectors, Policy sectors, Nuclear physics professor, have more...

Industry:
Education, Ngo, Healthcare, Government

Geo:
Iran, Israel, Ukraine, Azerbaijan, Israeli, American, Iranian, Australia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1078, T1020, T1059, T1036

IOCs:
Domain: 154
File: 8
Url: 9
Registry: 1
Hash: 11
Command: 1
Path: 1

Soft:
Gmail, Google Chrome, Outlook, Windows Remote Desktop Protocol, Windows Registry, Windows Defender, Curl

Algorithms:
aes, md5, base64

Functions:
PowerShell

Win Services:
bits, bits)

Languages:
powershell, javascript

Platforms:
x64

YARA: Found

Links:
https://github.com/NetSPI/PowerHuntShares

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что APT42, спонсируемая государством группа кибершпионажа, связанная с Ираном, использует передовые методы социальной инженерии и пользовательское вредоносное ПО для проникновения в сети жертв, уделяя особое внимание облачным средам. Группа нацелена на различные организации по всему миру, включая НПО, средства массовой информации, научные круги, юридические службы и активистов, для сбора данных, имеющих стратегическую ценность для Ирана. APT42 хорошо разбирается в сборе учетных данных, использует приманки и домены с опечатками, чтобы обмануть жертв, и было замечено, что он нацелен на лиц, связанных с обороной, иностранными делами и научными кругами. Тактика группы, использующей социальную инженерию, электронные письма с фишинговыми рассылками и пользовательские бэкдоры, затрудняет обнаружение и смягчение последствий, подчеркивая необходимость принятия упреждающих мер безопасности против таких сложных угроз.
-----

APT42 - это спонсируемая государством группа кибершпионажа, связанная с Ираном и действующая от имени КСИР.

Группа использует передовые методы социальной инженерии, такие как выдача себя за журналистов и организаторов мероприятий, чтобы завоевать доверие жертв.

APT42 фокусируется на проникновении в облачные среды и нацелен на различные организации, включая НПО, средства массовой информации, научные круги, юридические службы и активистов.

Злоумышленник использует специальные бэкдоры, такие как NICECURL и TAMECAT, для действий, основанных на вредоносном ПО, которые часто передаются по электронной почте с помощью фишинга.

APT42 хорошо разбирается в сборе учетных данных и использует домены с опечатками, чтобы обманом заставить жертв перейти по вредоносным ссылкам.

Группа нацелилась на организации в США, Израиле и Европе, особенно на лиц, связанных с обороной, иностранными делами и научными кругами.

Было замечено, что APT42 нацелен на юридические службы и неправительственные организации в США и Великобритании, извлекая конфиденциальную информацию из общедоступной облачной инфраструктуры жертв.

Чтобы расширить свои возможности в области шпионажа, APT42 внедряет пользовательские вредоносные программы, такие как TAMECAT и NICECURL, предлагая злоумышленникам гибкие интерфейсы для выполнения кода.

Несмотря на меняющийся ландшафт угроз, APT42 по-прежнему сосредоточен на сборе разведывательной информации, используя комбинацию пользовательских имплантатов, облачных операций и тактик социальной инженерии.

Тактика группы направлена на то, чтобы избежать обнаружения и подчеркнуть необходимость бдительности и упреждающих мер безопасности против изощренных участников угроз.