#ParsedReport #CompletenessLow
19-09-2025

How AI-Native Development Platforms Enable Fake Captcha Pages

https://www.trendmicro.com/en_us/research/25/i/ai-development-platforms-enable-fake-captcha-pages.html

Report completeness: Low

Threats:
Fakecaptcha_technique
Credential_harvesting_technique

Victims:
Email users, Online service users

ChatGPT TTPs:
do not use without manual check
T1036, T1204, T1566.002, T1584.006

IOCs:
Domain: 10

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники все чаще используют платформы разработки на базе искусственного интеллекта, такие как Vercel, Netlify и Lovable, для создания вводящих в заблуждение страниц с капчей для фишингов -кампаний. Эта тактика усилилась с января, используя простоту использования платформ и заслуживающий доверия брендинг, чтобы ввести пользователей в заблуждение. Фишинг обычно начинается со спам-писем, побуждающих к взаимодействию с fake CAPTCHAs, в то время как автоматические сканеры безопасности могут идентифицировать только видимую капчу, пропуская фактический сайт фишинга, стоящий за ней, где собираются учетные данные.
-----

Киберпреступники все чаще используют платформы разработки на базе искусственного интеллекта, такие как Vercel, Netlify и Lovable, для создания и размещения вводящих в заблуждение страниц с капчей, предназначенных для кампаний фишинга. Trend Micro сообщает о заметном росте применения этой тактики с января, поскольку злоумышленники используют простоту развертывания, недорогие варианты хостинга и заслуживающий доверия бренд, связанный с этими платформами, чтобы ввести пользователей в заблуждение и обойти системы обнаружения.

Стратегия фишинга обычно начинается со спам-писем, которые содержат срочные предупреждения, такие как "Требуется сброс пароля" или "Уведомление USPS об изменении адреса". Эти сообщения побуждают цели использовать интерфейс fake captcha, создавая ощущение срочности и снижая их защиту. Важно отметить, что автоматические сканеры безопасности могут обнаруживать только видимую капчу, не распознавая лежащую в основе перенаправления на фактический веб-сайт фишинга, на котором собираются учетные данные пользователя.

Злоумышленникам легко создавать убедительные сайты с fake captcha благодаря удобным интерфейсам таких платформ, как Lovable, где они могут использовать "вибрационное кодирование" для создания вводящего в заблуждение контента. Netlify и Vercel облегчают включение помощников по кодированию с использованием искусственного интеллекта в свои процессы непрерывной интеграции и непрерывного развертывания (CI/CD), что позволяет киберпреступникам быстро создавать и развертывать эти страницы для фишинга. Кроме того, наличие бесплатных уровней на этих платформах значительно снижает финансовые барьеры для запуска таких операций. Доверие, связанное с такими доменами, как *.vercel.app и *.netlify.app, также придает этим страницам видимость легитимности, еще больше вводя в заблуждение ничего не подозревающих пользователей.

Рост числа случаев фишинга с помощью fake captcha свидетельствует о тревожном прогрессе в тактике социальной инженерии, позволяющей злоумышленникам использовать современные технологические инструменты для злонамеренных целей. Защитникам настоятельно рекомендуется принимать многоуровневые меры безопасности, информировать сотрудников о фишинге на основе captcha и постоянно отслеживать злоупотребления доменами доверенного хостинга, стремясь таким образом снизить риски, связанные с этими развивающимися угрозами.

#ParsedReport #CompletenessMedium
19-09-2025

DeerStealer Malware Campaign: Stealth, Persistence, and Rootkit-Like Capabilities

https://www.cyfirma.com/research/deerstealer-malware-campaign-stealth-persistence-and-rootkit-like-capabilities/

Report completeness: Medium

Actors/Campaigns:
Luciferxfiles

Threats:
Deerstealer
Xfiles_stealer
Icmluautil_tool
Uac_bypass_technique

Geo:
Chinese

TTPs:
Tactics: 9
Technics: 20

IOCs:
File: 11
Path: 9
Domain: 3
Hash: 12
IP: 3

Soft:
Telegram

Algorithms:
md5, zip, sha256

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, code: 4, table: 2, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DeerStealer - это сложное вредоносное ПО, нацеленное на конфиденциальную информацию с помощью передовых методов уклонения и многоэтапного процесса заражения. Он распространяется через ZIP-архивы, содержащие PE-файлы, используя доверенный COM-объект для bypass UAC и выполнения его полезных функций, включая Grid-Electr.exe для сбора данных. Вредоносное ПО обеспечивает закрепление за запланированными задачами и может адаптироваться путем смены серверов управления, функционируя скрытно, чтобы избежать обнаружения средствами безопасности.
-----

DeerStealer - это сложное вредоносное ПО, специально разработанное для кражи конфиденциальной информации из зараженных систем. Активно продвигаемый на форумах dark-web и через Telegram-каналы, DeerStealer использует передовые методы, чтобы избежать обнаружения и постоянно работать в скомпрометированных средах. Его архитектура позволяет ему маскироваться под законное программное обеспечение, обманывая пользователей и заставляя их запускать вредоносное ПО, в то время как он тайно собирает различные формы конфиденциальных данных, включая личные и финансовые данные.

Механизм доставки вредоносного ПО включает упаковку его полезной нагрузки в ZIP-архив, содержащий PE-файлы и дополнительные компоненты. После установки DeerStealer использует доверенный COM-объект с автоматическим повышением уровня (ICMLuaUtil) с помощью DllHost.exe чтобы запустить его установочный файл, Reader_en_install.exe , обходя запросы контроля учетных записей пользователей (UAC) с помощью установленных методов, предназначенных для предотвращения обнаружения. Пользовательское действие, вызываемое msiexec.exe впоследствии выполняет другую полезную нагрузку, Grid-Electr.exe , который выполняет основные вредоносные операции.

DeerStealer демонстрирует многоэтапную функциональность, которая включает в себя использование подписанных исполняемых файлов и законных библиотек динамической компоновки (DLL) для дальнейшего противодействия мерам безопасности. Чтобы обеспечить закрепление, вредоносное ПО создает несколько записей о запланированных задачах, которые позволяют ему автоматически активироваться после перезагрузки системы и поддерживать постоянную связь с серверами управления (C2). Собранные данные отфильтровываются на назначенные серверы C2, такие как сервер, указанный по адресу telluricaphelion.com .

Вредоносное ПО известно своей адаптивностью, ему удается переключать серверы C2, чтобы избежать обнаружения. Эта адаптивность сочетается с возможностями, подобными руткиту, что позволяет ему работать незамеченным даже под пристальным вниманием инструментов пользовательского режима и программного обеспечения безопасности. В целом, DeerStealer обладает заметной широтой возможностей, которые позиционируют его как серьезную угрозу для отдельных лиц и организаций, поскольку он угрожает скомпрометировать широкий спектр конфиденциальных данных, оставаясь скрытым в течение длительного времени.

#ParsedReport #CompletenessHigh
19-09-2025

Unmasking Akira: The ransomware tactics you cant afford to ignore

https://zensec.co.uk/blog/unmasking-akira-the-ransomware-tactics-you-cant-afford-to-ignore/

Report completeness: High

Actors/Campaigns:
Play_ransomware

Threats:
Akira_ransomware
Conti
Advanced-port-scanner_tool
Netscan_tool
Credential_dumping_technique
Cobalt_strike_tool
Anydesk_tool
Ligolo-ng_tool
Rclone_tool
Powerview_tool
Sharefinder_tool
Sharpshares_tool
Grixba
Playcrypt
Pingcastle_tool
Bloodhound_tool
Rvtools_tool
Password_spray_technique
Mimikatz_tool
Dcsync_technique
Kerberoasting_technique
Passthehash_technique
Netexec_tool
Impacket_tool
Mobaxterm_tool
Bitvise_ssh_tool

Victims:
Retail, Finance, Manufacturing, Medical organisations, Uk businesses

Industry:
Retail, Healthcare, Financial

CVEs:
CVE-2024-40711 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2020-3259 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2023-27532 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-40766 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2023-20269 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 7
Technics: 0

IOCs:
File: 63
Domain: 1
Hash: 9

Soft:
OpenSSH, WinSCP, Active Directory, ESXi, Hyper-V, Chrome, Linux, PsExec, Sysinternals, Windows Defender, have more...

Algorithms:
base64

Languages:
powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Akira - группа программ-вымогателей, нацеленная на британские предприятия с 2023 года, что напоминает тактику, используемую организацией Conti. Они используют уязвимости в брандмауэрах Cisco ASA (CVE-2023-20269, CVE-2020-3259) и продуктах Veeam (CVE-2023-27532, CVE-2024-40711) для получения несанкционированного доступа и повышения привилегий, часто используя ранее существовавшие учетные данные Active Directory. Их операции включают командование и контроль через AnyDesk и OpenSSH, используя RDP для перемещения внутри компании, и они систематически сжимают и извлекают данные, полностью шифруя их перед публикацией украденной информации на сайте onion.
-----

Akira - группа вымогателей, которая нацелена на британские предприятия как минимум с 2023 года, используя ряд тактик, напоминающих прежнюю организацию по борьбе с киберпреступностью Conti. Их деятельность в основном сосредоточена на таких секторах, как розничная торговля, финансы, производство и медицинские организации, причем, согласно мероприятиям по реагированию на инциденты, проведенным ZenSec, пострадали более 30 предприятий.

Одной из основных точек входа для атак Akira's было использование брандмауэров Cisco ASA, в частности, из-за отсутствия Многофакторной аутентификации (MFA) и известных уязвимостей, таких как CVE-2023-20269 и CVE-2020-3259, которые облегчают несанкционированный доступ. Оказавшись внутри сети, Akira часто использует уже существующие учетные данные Active Directory (AD) или использует уязвимости в продуктах Veeam, в частности CVE-2023-27532 и CVE-2024-40711, для повышения привилегий.

Для управления (C2) Akira часто использует инструмент удаленного управления AnyDesk, который упоминается более чем в 43% случаев инцидентов, в то время как OpenSSH использовался примерно в 18,75%. Распространенный метод перемещения внутри компании включает в себя Протокол удаленного рабочего стола (RDP), используемый во всех зарегистрированных случаях. Защищаясь, Akira обычно отключает или удаляет продукты безопасности, как только они получают права администратора, часто используя простые действия на Панели управления для удаления антивирусов или решений для обнаружения конечных точек и реагирования (EDR). Это включает в себя ручное или автоматическое отключение Защитника Windows, причем в известных случаях для обхода мер защиты используются команды PowerShell.

Что касается сбора данных, Akira придерживается структурированного подхода, часто сжимая файлы в идентифицируемые RAR-архивы с указанием целевых каталогов на файловом сервере жертвы. Скорость эксфильтрации данных в значительной степени зависит от пропускной способности жертвы при загрузке: в ответах на инциденты отмечается, что эксфильтрация была завершена всего за три часа. Наблюдения во время реагирования на инциденты указывают на полное шифрование данных во всех случаях с Akira, с общими командами выполнения для их полезной нагрузки программы-вымогателя в системах ESXi, включая "chmod +x" для установки разрешений на выполнение перед запуском процесса шифрования, обычно выполняемого либо через PowerShell, либо через командную строку на компьютерах с Windows.

В случае утечки данных Akira публикует украденную информацию на специальном сайте onion, обеспечивая видимость своей деятельности по вымогательству. Каждый инцидент оставляет после себя отслеживаемые криминалистические артефакты, такие как файлы журналов, связанные с выполнением программы-вымогателя, тем самым подчеркивая операционные схемы и потенциальные меры противодействия, которые организации могут внедрить для снижения риска, связанного с такими угрозами.

#ParsedReport #CompletenessHigh
20-09-2025

Gamaredon X Turla collab

https://www.welivesecurity.com/en/eset-research/gamaredon-x-turla-collab/

Report completeness: High

Actors/Campaigns:
Gamaredon (motivation: cyber_espionage)
Turla (motivation: cyber_espionage)
Invisimole
Oilrig
Sidecopy (motivation: cyber_espionage)
Spiceyhoney (motivation: cyber_espionage)

Threats:
Kazuar
Pteroodd
Pteropaste
Pterographin
Pterolnk
Pterostew
Pteroeffigy
Spear-phishing_technique
Andromeda
Amadey
Dll_sideloading_technique

Victims:
Government organizations, Diplomatic entities, Defense industry

Industry:
Telco, Government

Geo:
Middle east, Asia, Ukrainian, Iran, Pakistan, Russia, Kyrgyzstan, Crimea, Ukraine, Russian

TTPs:
Tactics: 6
Technics: 17

IOCs:
Url: 11
Command: 1
File: 4
Domain: 9
Registry: 1
Path: 2
IP: 8
Hash: 11

Soft:
Telegram, WordPress

Algorithms:
3des, base64, xor

Win Services:
WebClient, ekrn

Languages:
powershell

Platforms:
x86

Links:
https://github.com/eset/malware-ioc/tree/master/turla

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В феврале 2025 года группы сложных целенаправленных атак Gamaredon и Turla, связанные с ФСБ, сотрудничали в проведении киберопераций против высокопоставленных украинских объектов. Gamaredon использовал множество инструментов, включая PteroGraphin, загрузчик, который использует Telegra.ph сервис для доставки зашифрованных полезных данных, в то время как Turla внедрила имплантат Kazuar v3 для эксплуатации. Это партнерство демонстрирует их обмен ресурсами для проведения изощренной шпионской деятельности с акцентом на украинские правительственные учреждения в условиях геополитической напряженности.
-----

В феврале 2025 года было задокументировано сотрудничество в области киберугроз между двумя печально известными группами сложных целенаправленных атак, связанными с ФСБ, Gamaredon и Turla, особенно в контексте нацеливания на высокопоставленные организации в Украине. Gamaredon, действующая с 2013 года и известная своими операциями против украинских правительственных учреждений, наряду с Turla, которая считается действующей с 2004 года, была вовлечена в многочисленные масштабные кибершпионажные мероприятия, затрагивающие правительства и дипломатические организации в различных регионах.

Обнаруженные совместные операции включали использование различных инструментов Gamaredon, таких как PteroLNK, PteroStew, PteroOdd, PteroEffigy и PteroGraphin, при этом Turla в основном использовала имплантат Kazuar v3. Временная шкала показала, что Gamaredon скомпрометировал несколько машин до Turla's развертывания Kazuar, что указывает на скоординированные усилия, когда Gamaredon первоначально предоставил доступ, а затем Turla's использовала созданный плацдарм.

Одним из центральных элементов этих мероприятий является инструмент PteroGraphin, идентифицируемый как загрузчик, предназначенный для доставки зашифрованных полезных данных через Telegra.ph обслуживание. Этот метод позволяет удаленно манипулировать контентом, отправляемым на скомпрометированные компьютеры, - тактика, которую можно легко использовать, если токен доступа попадет не в те руки, что подчеркивает потенциальные риски, связанные с сотрудничеством.

Kazuar v3, который представляет собой шпионский имплантат на C#, используемый исключительно Turla с момента его первого появления в 2016 году, претерпел различные модификации, сохранив при этом свою основную функциональность. Обнаруженные последовательности действий — особенно загрузка и выполнение Kazuar v3 через PteroOdd и PteroGraphin — иллюстрируют сложные методы, используемые при таких компромиссах.

Еще одним свидетельством продолжающегося партнерства стали последующие операции, в ходе которых 18 апреля и 6 июня 2025 года произошло дальнейшее развертывание Kazuar с помощью других штаммов вредоносного ПО, таких как PteroOdd и PteroPaste. Эти результаты свидетельствуют о растущем сотрудничестве между Gamaredon и Turla, предполагая, что они обменивались ресурсами и методологиями для расширения своих соответствующих кибернетических возможностей, нацеливаясь на украинскую инфраструктуру в условиях продолжающейся геополитической напряженности.

#ParsedReport #CompletenessLow
16-09-2025

Satori Threat Intelligence Alert: SlopAds Covers Fraud with Layers of Obfuscation

https://www.humansecurity.com/learn/blog/satori-threat-intelligence-alert-slopads-covers-fraud-with-layers-of-obfuscation/

Report completeness: Low

Actors/Campaigns:
Slopads
Badbox

Threats:
Steganography_technique
Fatmodule

Victims:
Digital advertising ecosystem

Geo:
Brazil, India

ChatGPT TTPs:
do not use without manual check
T1027, T1027.003, T1041, T1059.007, T1071.001, T1102, T1105, T1106, T1204.002, T1583.001, have more...

IOCs:
Domain: 290

Soft:
Google Play, Android

Algorithms:
zip, exhibit

Languages:
java, javascript

Links:
https://github.com/packing-box/awesome-executable-packing

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 1, code: 11, chart: 1, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Деятельность SlopAds представляет серьезную угрозу мошенничества с рекламой и кликами, поскольку использует по меньшей мере 224 приложения с более чем 38 миллионами загрузок, применяя такие методы, как Стеганография и запутывание, чтобы скрыть свою деятельность. Эти приложения взаимодействуют с Firebase Remote Config для получения зашифрованных конфигураций, облегчая загрузку модуля мошенничества и направляя пользователей к скрытым веб-просмотрам, которые собирают обширные данные об устройстве. Зависимость операции от законных сервисов и эволюционирующих методов свидетельствует о продолжающейся изощренности использования экосистемы цифровой рекламы для получения незаконной финансовой выгоды.
-----

Работа SlopAds представляет собой серьезную угрозу в сфере мошенничества с рекламой и кликами, используя сложную инфраструктуру, включающую по меньшей мере 224 приложения, которые в совокупности собрали более 38 миллионов загрузок по всему миру из магазина Google Play. Эти приложения используют передовые методы, в частности Стеганографию, для сокрытия мошеннических действий, одновременно облегчая скрытый просмотр веб-страниц для перехода на сайты вывода средств, принадлежащие злоумышленникам. Операция характеризуется очевидным использованием тем Искусственного интеллекта, что согласуется с растущей изощренностью схем мошенничества с рекламой.

Методология, используемая группой SlopAds, сложна и характеризуется множеством уровней запутывания, препятствующих усилиям по обнаружению. После установки эти приложения получают доступ к Firebase Remote Config для получения зашифрованной конфигурации, содержащей важные данные, такие как URL-адреса для загрузки модуля мошенничества (идентифицируемого как FatModule), а также домены для вывода средств H5 и полезную нагрузку JavaScript, которая управляет механизмами мошенничества с кликами. Такая зависимость от инструментов Google демонстрирует хитрое использование законных сервисов для содействия незаконной деятельности.

Первоначально приложения выполняют отладочные проверки, а затем запускают скрытые веб-просмотры, которые направляют пользователей на сайты, способные получать обширную информацию об устройстве и браузере. Этот начальный этап поиска данных имеет решающее значение, поскольку он позволяет злоумышленникам адаптировать свои мошеннические действия на основе конкретных пользовательских показателей. После этого приложения подключаются к серверам Command and Control (C2), чтобы получить инструкции о том, какие скрытые домены WebView следует посещать, в первую очередь ориентируясь на сайты вывода средств, находящиеся под контролем мошенников.

Обнаружение SlopAds с помощью Satori Threat Intelligence стало результатом тщательного анализа аномальных данных, связанных с этими приложениями, что привело к выявлению многочисленных доменов, продвигающих приложения SlopAds. По мере развития этих схем сохраняется потенциал для постоянной адаптации со стороны злоумышленников, что свидетельствует о непрерывном цикле совершенствования их операций, направленных на использование экосистемы цифровой рекламы для получения финансовой выгоды. Исследователи Satori сохраняют бдительность, отслеживая развитие событий и предвидя будущие изменения в работе SlopAds, поскольку она стремится избежать усилий по обнаружению и вербовке в условиях киберугрозы.

#ParsedReport #CompletenessLow
20-09-2025

EDR-Freeze: A Tool That Puts EDRs And Antivirus Into A Coma State

https://www.zerosalarium.com/2025/09/EDR-Freeze-Puts-EDRs-Antivirus-Into-Coma.html

Report completeness: Low

Threats:
Edr-freeze_tool
Byovd_technique

Victims:
Edr vendors, Antivirus vendors, Windows defender users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.001, T1036.003, T1068, T1562.001, T1574.002

IOCs:
File: 2

Soft:
Windows Error Reporting, Process Explorer, Windows Defender

Functions:
CreateProcessAsPPL

Win API:
Minidumpwritedump, CreateProcess, OpenProcess, NtSuspendProcess

Win Services:
MsMpEng

Links:
https://github.com/TwoSevenOneT/WSASS
have more...
https://github.com/TwoSevenOneT/CreateProcessAsPPL

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Появление EDR-Freeze иллюстрирует тенденцию в техниках кибератак, в частности, методологию "Принеси свой собственный уязвимый драйвер" (BYOVD) для обхода механизмов безопасности, таких как EDR и антивирусные решения. EDR-Freeze использует функцию MiniDumpWriteDump для приостановки операций EDR и антивируса, позволяя манипулировать этими средствами защиты. Кроме того, злоумышленники могут использовать символические ссылки Windows с уязвимыми драйверами, осуществлять Маскировку путей и использовать перенаправление папок для нарушения функциональности Защитника Windows, выявляя значительные риски для целостности конечных точек.
-----

Появление таких инструментов, как EDR-Freeze, подчеркивает тревожную тенденцию в техниках кибератак, особенно связанную со стратегией BYOVD (Принесите свой собственный уязвимый драйвер) для обхода механизмов безопасности, таких как системы обнаружения конечных точек и реагирования (EDR) и антивирусное программное обеспечение. EDR-Freeze использует функцию MiniDumpWriteDump, которая приостанавливает все потоки в целевом процессе, чтобы эффективно "заморозить" работу EDR и антивирусных процессов, позволяя злоумышленникам манипулировать этими средствами защиты. Эта тактика также требует преодоления защиты Protected Process Light (PPL), которая защищает критически важные компоненты системы, включая EDR и антивирусные программы.

Благодаря значительному усовершенствованию метода BYOVD злоумышленники могут использовать комбинацию символических ссылок Windows наряду с уязвимыми драйверами, расширяя область потенциальных эксплойтов. Это позволяет злоумышленникам нацеливаться на большее число драйверов, обладающих возможностями записи файлов, что повышает их способность эффективно нарушать меры безопасности. Очевидно, что этот новый подход был описан в контексте отключения защитника Windows в Windows 11.

Другим обсуждаемым методом уклонения является Маскировка путей, которая позволяет злоумышленникам со стандартными пользовательскими привилегиями имитировать законные пути системных процессов, в частности исполняемый файл службы защиты от вредоносных программ, тем самым избегая обнаружения. Это включает в себя тщательный контроль событий создания процесса и контекста командной строки, чтобы сочетать вредоносные действия с безобидными на вид операциями.

Кроме того, злоумышленники могут использовать такие методы, как перенаправление папок, чтобы обойти защитную оболочку Защитника Windows. Получая доступ к защищенным папкам, содержащим исполняемые файлы Defender, они могут манипулировать его операциями, например, загружать вредоносные библиотеки DLL или повреждать исполняемые файлы, чтобы нарушить функциональность Defender.

В статье также отмечается, что PPL - это надежная функция, защищающая жизненно важные процессы в Windows, часто используемая EDR и антивирусными решениями. Однако разрабатываются методы для использования процессов, защищенных PPL, путем создания процессов с функциональными возможностями PPL, что эффективно позволяет злоумышленникам выполнять действия, которые обычно остаются недоступными без явной поддержки со стороны драйверов Windows.

Таким образом, эти изменения отражают заметную тенденцию в использовании методов, направленных на подрыв протоколов безопасности в операционных системах, создавая значительные риски для целостности конечных точек и общей устойчивости к кибербезопасности.

#ParsedReport #CompletenessLow
18-09-2025

From Abstract Terms to Acumen: SEO Poisoning

https://medium.com/@cyb3r-hawk/from-abstract-terms-to-acumen-seo-poisoning-b4152ee21594

Report completeness: Low

Threats:
Seo_poisoning_technique
Cloaking_technique

Victims:
Ecommerce users

Industry:
E-commerce

ChatGPT TTPs:
do not use without manual check
T1071.001, T1189, T1204.001, T1204.003

IOCs:
Domain: 1
File: 1
Url: 28

Languages:
javascript