#ParsedReport #CompletenessMedium
27-06-2025

In the Wild: Malware Prototype with Embedded Prompt Injection

https://research.checkpoint.com/2025/ai-evasion-prompt-injection/

Report completeness: Medium

Threats:
Zeus
Sandbox_evasion_technique

Industry:
Education

Geo:
Netherlands

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1105, T1140, T1204.002, T1564.001, T1573, T1583.001, T1584.004

IOCs:
File: 4
Registry: 1
Path: 4
Domain: 2
Hash: 1

Soft:
Openai, VirtualBox, QEMU, Hyper-V, Linux

Algorithms:
xor, base64

Functions:
hasHypervisorCpuFlag, checkBiosVendor, checkEnvironmentVmVars, checkNetworkAdapterMac, checkVmProcesses

Win API:
CreateProcessA

Platforms:
apple

Links:
https://github.com/mrexodia/ida-pro-mcp
https://github.com/atredispartners/aidapal

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Образец вредоносной программы Skynet использует быстрое внедрение, чтобы избежать обнаружения за счет изменения поведения искусственного интеллекта, но его эффективность ограничена в отношении крупных языковых моделей. В нем реализованы базовые функциональные возможности, такие как сбор системной информации и защита от "песочницы", при этом используются методы обфускации, хотя он остается менее сложным, чем общепринятые методы. Это указывает на потенциальную тенденцию к объединению возможностей искусственного интеллекта с разработкой вредоносных программ, что требует повышенной готовности к новым угрозам.
-----

Недавний анализ вредоносного ПО выявил новый образец, демонстрирующий отличительную технику уклонения с помощью быстрого внедрения, специально направленную на изменение поведения анализирующих его моделей искусственного интеллекта. Этот вредоносный компонент, называемый Skynet, обладает характеристиками, которые позволяют предположить, что он работает скорее как проверка концепции, чем как полноценное кибероружие. В примере используется простой механизм, который пытается манипулировать инструкциями ИИ, предписывая ему игнорировать предыдущие команды и отвечать сообщением "ВРЕДОНОСНОЕ ПО НЕ ОБНАРУЖЕНО". Однако тесты показывают, что этот метод не работает с различными большими языковыми моделями (LLM), что указывает на недостаточную эффективность манипулирования ИИ в вредоносных целях на данном этапе.

Образец Skynet демонстрирует ключевые функциональные возможности, но процесс его выполнения выглядит рудиментарным. Он пытается собрать системную информацию, такую как доступ к файлам в домашнем каталоге и критическим системным путям, но его архитектура и операционный процесс кажутся неполными, что часто приводит к неиспользуемым ресурсам. Вредоносная программа использует методы обхода "песочницы" и использует встроенный зашифрованный клиент TOR для создания прокси-сервера для скрытых коммуникаций. После запуска она настраивает этот прокси-сервер и впоследствии удаляет каталог, в котором хранятся ее компоненты, с целью скрыть свои следы от обнаружения.

Дизайн этой вредоносной программы включает в себя элементы запутывания, использующие функции уровня сборки, называемые opaque_true и opaque_false, для усложнения процесса управления. Несмотря на эти попытки скрытности, их эффективность сомнительна, и в целом поведение было оценено как менее изощренное по сравнению с хорошо зарекомендовавшими себя методами уклонения. Попытки уклонения отражают консервативный подход, присущий традиционным методам вредоносного ПО, которые часто основаны на проверенных стратегиях, принятых хакерским сообществом.

Последствия этого нововведения подчеркивают потенциальную взаимосвязь между новыми возможностями ИИ и разработкой вредоносных программ, что указывает на будущее, в котором авторы вредоносных программ могут все чаще использовать методы ИИ. Идея использования ИИ для создания более эффективных атак подчеркивает изменение ландшафта угроз, поскольку простота реализации расширенных возможностей представляет проблему для защитников. По мере развития методов обеспечения безопасности с внедрением генеративного ИИ ожидается, что авторы вредоносных программ будут адаптировать и совершенствовать свои стратегии, что приведет к непрерывному циклу инноваций как в разработке вредоносных программ, так и в механизмах защиты. Этот сценарий свидетельствует о растущей потребности в повышенной бдительности и готовности к все более изощренным угрозам с помощью ИИ.

#ParsedReport #CompletenessMedium
27-06-2025

Bluenoroff (APT38) real-time infrastructure tracking

https://www.ctfiot.com/258665.html

Report completeness: Medium

Actors/Campaigns:
Bluenoroff (motivation: financially_motivated, cyber_espionage, information_theft, sabotage)
Lazarus (motivation: financially_motivated)
Andariel
Kimsuky (motivation: cyber_espionage)
Smn
1mission
Dark_seoul

Threats:
Flame

Victims:
Bangladesh bank, Bancomext, Bank of chile, Sony pictures

Industry:
Government, Military, Financial, Critical_infrastructure, Entertainment

Geo:
Bangladesh, North korean, Chile, North korea, Mexico

ChatGPT TTPs:
do not use without manual check
T1027, T1059, T1078, T1105, T1486, T1490, T1547, T1550.002, T1555, T1557, have more...

IOCs:
IP: 7
Domain: 7
Hash: 1

Soft:
macOS, WeChat

Algorithms:
sha256

Languages:
swift, rust

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT38, подгруппа Lazarus Group, специализируется на финансовых киберпреступлениях и с 2014 года атакует банки и криптовалютные биржи по всему миру. Ключевые инциденты включают кражу из банка Бангладеш на сумму 81 миллион долларов; их вредоносная программа Cosmic Rust нацелена на macOS, а фишинговые действия связаны с IP-адресом 104.168.151.116.
-----

Кибератаки Северной Кореи часто приводят к сложным проблемам с установлением авторства из-за совпадающих соглашений об именах у разных хакеров. Многие исследователи безопасности относят всю деятельность, спонсируемую северокорейским государством, к группе Lazarus Group, а не отслеживают конкретные подгруппы, такие как Andariel, APT38 (также известная как Bluenoroff) и APT43 (Kimsuky). APT38, связанная с Главным разведывательным управлением Северной Кореи (RGB), в первую очередь финансово мотивирована и действует примерно с 2014 года. Эта подгруппа несла ответственность за крупномасштабные атаки на различные финансовые учреждения, включая банки, криптовалютные биржи и банкоматы, по меньшей мере в 38 странах.

Известные инциденты, связанные с APT38, включают печально известное ограбление банка в Бангладеш в 2016 году, когда они успешно похитили 81 миллион долларов, и значительные нарушения в 2018 году, связанные с Bancomext и Banco de Chile, которые включали в себя деструктивные действия, направленные на срыв усилий по реагированию на инциденты. В более широком плане, хотя Lazarus Group известна своими операциями, проводимыми при поддержке государства с 2009 года и нацеленными на политические структуры и критически важную инфраструктуру по всему миру, APT38 по-прежнему сосредоточена на финансовых киберпреступлениях.

Инструменты, инфраструктура и персонал в значительной степени распределены между северокорейскими APT, что приводит к существенным трудностям с атрибуцией. Аналитики часто объединяют их под одним названием, признавая при этом конкретные различия между подгруппами. Компания Andariel известна своими кибероперациями, ориентированными на военные нужды, в то время как APT43 занимается шпионажем.

Важно отметить, что в ходе расследования инфраструктуры APT38 был выявлен конкретный IP-адрес 104.168.151.116, по которому были обнаружены текущие кибератаки, включая операции с фишинговыми доменами. Недавно выявленные фишинговые домены показали высокую степень сходства с доменами, ранее привязанными к этому IP-адресу. Кроме того, сообщалось, что вредоносное ПО, приписываемое APT38, взаимодействует с сервером управления по другому конкретному IP-адресу, 104.168.136.24. Примечательно, что обнаруженное вредоносное ПО было отнесено к семейству Cosmic Rust, которое специально предназначено для систем macOS и является примером адаптации APT38 для различных платформ. Этот меняющийся ландшафт угроз подчеркивает постоянный и изощренный характер киберопераций Северной Кореи.

#ParsedReport #CompletenessMedium
27-06-2025

Case of attack targeting domestic web servers using MeshAgent and SuperShell

https://asec.ahnlab.com/ko/88559/

Report completeness: Medium

Actors/Campaigns:
Unc5174

Threats:
Meshagent_tool
Supershell
Wograt
Tinyshell
Rekoobe_rootkit
Ladon_tool
Fscan_tool
Chinachopper
Godzilla_webshell
Regeorg_tool
Netstat_tool
Powerladon_tool
Sweetpotato_tool
Wingsofgod
Wmiexec_tool

Victims:
Domestic web servers, Windows servers, Linux servers, Organizations, Ms sql servers

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1003.004, T1018, T1021.001, T1021.002, T1047, T1053.005, T1059.001, T1068, T1071.001, T1078, have more...

IOCs:
Path: 2
File: 5
Command: 2
Url: 5
Hash: 5
Domain: 1
IP: 2

Soft:
Linux, Android, MS-SQL

Algorithms:
md5

Win Services:
WebClient

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 3, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние кибератаки были нацелены на веб-серверы Windows и Linux с использованием вредоносных программ MeshAgent и SuperShell, которые использовали уязвимость при загрузке файлов для развертывания веб-оболочки и получения контроля над системами. Методы атаки включали в себя горизонтальное перемещение с использованием таких инструментов, как Fscan и Ladon, для повышения привилегий, в то время как бэкдор WogRAT, связанный с предыдущими инцидентами, указывает на настойчивого хакера.
-----

Были подтверждены недавние кибератаки, целью которых были внутренние веб-серверы Windows и Linux с использованием вредоносных программ MeshAgent и SuperShell. Судя по имеющимся данным, злоумышленники использовали уязвимость при загрузке файлов для развертывания веб-оболочки, что позволило им установить дополнительное вредоносное ПО и установить контроль над скомпрометированными системами. Заметным компонентом, обнаруженным в ходе атак, является WogRAT, вредоносное ПО с бэкдором, созданное на основе Tiny SHell с открытым исходным кодом. Этот вариант был связан с предыдущей атакой, в которой использовался aNotepad, что указывает на вероятную преемственность действий того же хакера.

Методы, использованные при атаках, позволяют выделить несколько ключевых приемов, связанных с перемещением по горизонтали и постоянством. Первоначальное проникновение включало использование веб-оболочек формата ASP и ASPX, специально разработанных для серверов Windows, о чем свидетельствуют журналы, демонстрирующие различные экземпляры веб-оболочек, такие как Chopper, Godzilla и Regeorg. После настройки этих начальных точек доступа злоумышленники использовали такие инструменты, как Fscan для сканирования сети и Ladon для повышения привилегий. Ladon, наряду со своей итерацией PowerLadon для PowerShell, предоставляет разнообразные функции, которые позволяют злоумышленникам проводить сканирование, получать конфиденциальную информацию и выполнять вредоносные действия после заражения.

Особого внимания заслуживает тактика повышения привилегий, при которой злоумышленники использовали командные возможности "SweetPotato" от Ladon для повышения своих прав доступа. Они дополнили эти действия установкой SuperShell и MeshAgent для дальнейшего контроля зараженной инфраструктуры. SuperShell, мультиплатформенная обратная оболочка, разработанная на Go, и MeshAgent, который собирает важные данные для управления системой и поддерживает удаленные действия, имеют решающее значение для успеха операций злоумышленников.

Методы латерального перемещения были подтверждены с помощью WMIExec и кражи учетных данных, при этом злоумышленники получили доступ к NT-хэшу учетных записей администраторов с помощью инструмента дампа сетевых паролей. Это позволило получить дополнительный доступ по всей сети организации, ориентируясь на серверы MS-SQL в рамках своей стратегии. Связь WogRAT с предыдущими действиями в сочетании с использованием уязвимостей в веб-серверах раскрывает сложную схему работы и предполагает целенаправленную цель: потенциальную утечку конфиденциальной информации или внедрение программ-вымогателей.

#ParsedReport #CompletenessHigh
27-06-2025

OneClik: A ClickOnce-Based APT Campaign Targeting Energy, Oil and Gas Infrastructure

https://www.trellix.com/en-au/blogs/research/oneclik-a-clickonce-based-apt-campaign-targeting-energy-oil-and-gas-infrastructure/

Report completeness: High

Actors/Campaigns:
Oneclik
Apt-q-14
Earth_baxia
Winnti

Threats:
Onecliknet
Runnerbeacon
Process_injection_technique
Cobalt_strike_tool
Geacon
Antidebugging_technique
Grimresource_technique
Backdoor.win.generic
Spear-phishing_technique

Victims:
Energy, Oil, Gas

Industry:
Energy, Petroleum

Geo:
Chinese, Apac

TTPs:
Tactics: 4
Technics: 11

IOCs:
File: 21
Domain: 2
Hash: 19
Url: 10

Algorithms:
xor, sha256, base64, exhibit, rc4, aes, aes-128-cbc

Functions:
GetBytes, GetFunctionPointerForDelegate, WriteMemory, GetDelegateForFunctionPointer, GetConsoleWindow, HTTPS

Win API:
EtwEventWrite, CheckRemoteDebuggerPresent, NtQueryInformationProcess, NetGetJoinInformation, NetGetAadJoinInformation, GlobalMemoryStatusEx, GetProcAddress, NtProtectVirtualMemory, CreateProcessW

Languages:
golang, dotnet

Platforms:
x64, amd64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания OneClik APT нацелена на энергетический сектор и использует фишинг и Microsoft ClickOnce для развертывания загрузчика OneClikNet на базе .NET, который запускает RunnerBeacon, сложный бэкдор Golang. Используя законные сервисы AWS для скрытности и используя методы уклонения, он устанавливает зашифрованную связь C2, внедряя вредоносный код в приложения .NET applications.
-----

OneClik - это кампания по распространению вредоносных программ APT, нацеленная на энергетический, нефтяной и газовый секторы. Кампания связана с хакерами, связанными с Китаем, хотя ее авторство остается неподтвержденным. OneClik использует фишинг и технологию Microsoft ClickOnce для распространения. Кампания включает в себя три варианта: v1a, BPI-MDM и v1d, использующие загрузчик .NET под названием OneClikNet. OneClikNet использует бэкдор RunnerBeacon, разработанный в Golang, который взаимодействует через сервисы AWS, такие как CloudFront и API Gateway. ClickOnce используется для скрытого выполнения полезной нагрузки через службу развертывания (dfsvc.exe). Злоумышленники используют фишинговые ссылки, которые приводят жертв на сайт, содержащий манифест ClickOnce, запускающий выполнение вредоносного ПО. Вариант версии 1a начинается с файла с именем "victim_Hardware_Analysis_Tool.application", который запускает скомпрометированный исполняемый файл. OneClikNet использует модульную конструкцию для идентификации жертв и использует методы обхода, такие как перемещение памяти и меры по предотвращению отладки. RunnerBeacon устанавливает зашифрованные каналы C2 с использованием HTTP(ов) и WebSockets и поддерживает выполнение команд, управление файлами и сетевые операции. Инфраструктура C2 маскирует вредоносный трафик в сервисах AWS, что усложняет усилия по обнаружению. Кампания демонстрирует возросшую сложность различных вариантов, особенно в методах обхода. В нефтегазовом секторе Ближнего Востока был обнаружен вариант RunnerBeacon. Тактика включает в себя .Перехват NET AppDomainManager и зашифрованная полезная нагрузка наводят на мысль об общих методологиях с известной китайской тактикой APT.

#ParsedReport #CompletenessLow
27-06-2025

Behind Scattered Spider: Activity, TTPs, and What to Watch For

https://www.bitsight.com/blog/who-is-scattered-spider-ransomware-group

Report completeness: Low

Actors/Campaigns:
0ktapus (motivation: financially_motivated, cyber_criminal)

Threats:
Blackcat
Smishing_technique
Sim_swapping_technique
Lolbin_technique
Ransomhub
Qilin_ransomware
Dragonforce_ransomware
Aitm_technique
Credential_dumping_technique
Spear-phishing_technique

Victims:
Mgm resorts, Caesars entertainment, Caesars palace, Marks & spencer, Co-op, Harrods

Industry:
Entertainment, Education, Bp_outsourcing, Retail

Geo:
Canada

TTPs:
Tactics: 3
Technics: 45

Soft:
Twitter

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа программ-вымогателей Scattered Spider, действующая с 2022 года, использует агрессивную социальную инженерию, фишинг и подмену SIM-карт для атак на предприятия, часто выступая в качестве посредника для получения первоначального доступа для аффилированных лиц RaaS. Они используют уязвимости облачных платформ и связаны со значительными инцидентами, включая MGM Resorts, что подчеркивает необходимость усиления мер безопасности.
-----

Число атак с использованием программ-вымогателей заметно возросло, и данные свидетельствуют о значительном увеличении числа сайтов с утечками, которыми управляют группы программ-вымогателей, - на 53%. Среди активных хакеров компания Scattered Spider особенно известна тем, что использует агрессивную тактику социальной инженерии для нападения на крупные предприятия. Хотя эта группа не всегда внедряет программы-вымогатели напрямую, она выступает в качестве посредника для получения начального доступа, помогая аффилированным лицам программ-вымогателей осуществлять свои атаки. Их методы работы основаны на фишинге и рассылке SMS-сообщений, которые используются для компрометации учетных данных пользователей и перехвата кодов MFA. Они часто используют атаки с подменой SIM-карт, связанные с их фишинговыми атаками, обходя средства проверки подлинности, чтобы получить несанкционированный доступ к целевым средам.

Компания Scattered Spider, работающая по меньшей мере с 2022 года, была связана с несколькими громкими инцидентами, включая нападения на MGM Resorts и Caesars Entertainment. Группа адаптировалась к различным средам атак, часто используя уязвимости в корпоративных облачных платформах, таких как Azure, AWS и Microsoft 365, для повышения привилегий. Они используют сложные методы социальной инженерии, проводят обширную проверку OSINT, чтобы выдать себя за ИТ-персонал и обманом заставить сотрудников раскрыть учетные данные. Их оперативная тактика включает в себя тщательную разведку, повышение привилегий, использование программы-вымогателя BlackCat (ALPHV) и угрозу раскрытия данных для финансового вымогательства, даже в тех случаях, когда программа-вымогатель не была применена.

Недавние события показывают, что Spider разветвляется на экосистему программ-вымогателей как услуг (RaaS), сотрудничая с известными операторами RaaS. Их целевые сектора включают аутсорсинг бизнес-процессов (BPO), службы поддержки и профессиональные услуги. Например, во время атаки на розничные сети Великобритании, такие как Marks & Spencer и Co-op, в конце апреля 2025 года, Spider Spider использовали платформу для вымогательства DragonForce и провели первоначальную атаку с помощью кампаний социальной инженерии. Это подчеркивает постоянную угрозу, которую они представляют для сектора розничной торговли.

Инцидент с участием MGM Resorts продемонстрировал способность группы использовать человеческий фактор в обеспечении сетевой безопасности, что привело к значительным сбоям в работе и финансовому ущербу, оцениваемому в 100 миллионов долларов. Их тактика продемонстрировала опасную способность обходить современные средства контроля безопасности с помощью сложной социальной инженерии и использования облачных сервисов, что еще больше подчеркнуло необходимость более жестких защитных мер. Организациям необходимо внедрять надежные планы реагирования на инциденты, изолировать скомпрометированные системы, постоянно отслеживать индикаторы компрометации (IOCs), повышать осведомленность пользователей о фишинге и внедрять передовые системы безопасности, такие как архитектура с нулевым уровнем доверия, для эффективного устранения таких угроз.

#ParsedReport #CompletenessHigh
27-06-2025

GIFTEDCROOKs Strategic Pivot: From Browser Stealer to Data Exfiltration Platform During Critical Ukraine Negotiations

https://arcticwolf.com/resources/blog-uk/giftedcrooks-strategic-pivot-from-browser-stealer-to-data-exfiltration-platform-during-critical-ukraine-negotiations/

Report completeness: High

Actors/Campaigns:
Uac-0226 (motivation: cyber_espionage)

Threats:
Giftedcrook
Spear-phishing_technique
Netsupportmanager_rat

Victims:
Ukrainian governmental institutions, Ukrainian military institutions, Authorities in bakhmut, Undisclosed-recipients

Industry:
Military

Geo:
Turkey, Russia, Russian, Ukraine, Ukrainian, Donetsk

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1055, T1059.007, T1070.004, T1071.001, T1105, T1114, T1119, T1204.002, have more...

IOCs:
Domain: 1
Hash: 13
File: 7
Path: 3
Url: 1

Soft:
Telegram, LibreOffice, Chrome, Firefox, Google Chrome

Algorithms:
sha256, zip, base64, xor

Languages:
javascript, python

Platforms:
x64

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, code: 5, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа UAC-0226 превратила свою вредоносную программу GIFTEDCROOK из простого средства для кражи информации в многофункциональное средство сбора разведданных, предназначенное для украинских военных и правительственных структур с помощью фишинговых электронных писем с вложениями в формате PDF, похожими на оружие. Версии 1.2 и 1.3 улучшают методы кражи документов, шифрования данных и эксфильтрации с помощью Telegram, что указывает на стратегический кибершпионаж, связанный с геополитическими событиями.
-----

Группа кибершпионажа UAC-0226 значительно расширила свои возможности, превратив свою вредоносную программу GIFTEDCROOK из элементарного средства для кражи информации в более сложный инструмент для сбора разведданных. Впервые GIFTEDCROOK был запущен в 2025 году как обычный браузер для кражи данных (версия 1), который с тех пор претерпел два крупных обновления — версии 1.2 и 1.3, что позволило осуществлять широкомасштабную фильтрацию конфиденциальных документов с целевых устройств. Вредоносная программа использовалась в основном против украинских правительственных и военных структур, причем конкретные кампании совпадали с критическими геополитическими событиями, что указывает на стратегическую направленность на сбор разведданных.

Основным источником заражения GIFTEDCROOK остаются электронные письма с фишинговой рассылкой, которые часто оформлены так, чтобы напоминать о срочных военных делах, касающихся Украины. Электронные письма, как правило, содержат PDF-вложения военной тематики, которые оформлены как обычные объекты. После того, как жертва нажимает на эти объекты, они выполняют действия, которые могут привести к установке вредоносного ПО, включая отключение инструментов удаленного доступа, таких как NetSupport RAT, которые обеспечивают постоянный доступ и утечку данных, избегая при этом обнаружения.

Три версии GIFTEDCROOK демонстрируют широкий спектр возможностей. Версия 1 в основном похищала данные браузера, версия 1.2 была расширена за счет кражи документов и введения строкового шифрования файлов, в то время как версия 1.3 сочетает в себе функции предыдущих версий и расширяет возможности поиска данных, ориентируясь на файлы, измененные в течение последних 45 дней, и используя Telegram для эксфильтрации. Каждая версия обладает специфическими функциями, такими как сжатие файлов, шифрование и систематическая организация, что позволяет злоумышленникам безопасно архивировать и передавать данные с сохраненными метаданными.

Новые технологии, используемые UAC-0226, предполагают методичный и стратегический подход к их работе. Взаимосвязь между развертыванием вредоносного ПО и дипломатическими переговорами с высокими ставками демонстрирует, как кибер-инструменты используются для сбора разведданных, которые могут повлиять на военные и политические результаты. Учитывая характер целенаправленных атак, общую инфраструктуру нескольких хакерских группировок и сосредоточение внимания на украинских военных и правительственных учреждениях, возникает широкий спектр угроз, что подчеркивает необходимость усовершенствованных механизмов обнаружения и защиты от этих сложных киберопераций. Организациям рекомендуется усилить свою защиту с помощью обучения сотрудников, защищенных шлюзов электронной почты и решений для обнаружения конечных точек и реагирования на них, чтобы снизить риски, связанные с методами скрытого фишинга, используемыми участниками GIFTEDCROOK.