#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Kimsuky, занимающаяся хакерской группировкой, действующая с августа 2023 года, нацелилась на оборонный сектор Южной Кореи и правительственные исследовательские институты, используя spear phishing и сложные инфраструктурные компрометации. Они воспользовались уязвимостью на сервере обновлений Bizbox alpha messenger для распространения измененного исполняемого файла, bizboxamessenger.exe , который содержит как вредоносный, так и законный код, что облегчает его уклонение от обнаружения и усложняет идентификацию инфекций в пользовательских системах.
-----

Отчет об отслеживании LARVA-25004 раскрывает деятельность хакерской группировки, идентифицированной как Kimsuky, которая действует с августа 2023 года. Эта группа в первую очередь сосредоточила свои атаки на объектах южнокорейской оборонной промышленности и правительственных научно-исследовательских институтах. Аналитический центр безопасности Ahnlab (ASEC) связал эту группу с инцидентом с вредоносным кодом, который был связан с использованием просочившегося сертификата корейской компании CJ OLIVE NETWORKS в мае 2025 года.

Оперативная тактика группы LARVA-25004 включает в себя spear phishing как метод проникновения в системы через электронную почту. В дополнение к этому они продемонстрировали сложные методы, ставя под угрозу внутреннюю инфраструктуру организаций. В частности, они нацелились на сервер обновлений Bizbox alpha messenger, который облегчил загрузку измененной версии законного исполняемого файла, bizboxamessenger.exe . Этот измененный файл предназначен для маскировки под подлинное обновление при внедрении вредоносного кода в системы пользователя.

Когда запускается законный мессенджер Bizbox alpha, он автоматически подключается к обновленному серверу, непреднамеренно загружая скомпрометированную версию исполняемого файла. Примечательно, что Вредоносный файл структурирован таким образом, чтобы включать как вредоносный код, так и не вредоносный легитимный код, что позволяет избежать обнаружения конечными пользователями и принятия мер безопасности. Этот метод усложняет идентификацию системного заражения, поскольку наличие аутентичного файла затрудняет жертвам распознавание вредоносного характера обновления при отсутствии четких признаков компрометации.

#ParsedReport #CompletenessMedium
23-09-2025

Exploring a yearlong AiTM Phishing Campaign Abusing npm, GitHub and Public CDNs

https://www.orangecyberdefense.com/global/blog/cybersecurity/exploring-a-year-long-aitm-phishing-campaign-abusing-npm-github-and-public-cdns

Report completeness: Medium

Threats:
Aitm_technique
Tycoon_2fa
Evilginx_tool

Victims:
Manufacturing, Engineering, European organizations, United states organizations, Germany organizations

Geo:
Usa, Germany

ChatGPT TTPs:
do not use without manual check
T1036, T1566.001, T1566.002, T1583.006, T1588.001, T1608.005, T1646

IOCs:
Url: 4
Domain: 8
IP: 4
File: 3

Languages:
javascript

Links:
https://github.com/javascript-obfuscator/javascript-obfuscator

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была выявлена длительная кампания фишинга, направленная в первую очередь на европейских пользователей, в ходе которой злоумышленники использовали npm, GitHub и общедоступные CDN для доставки вредоносного контента. Злоумышленники использовали поддельные электронные письма с HTML-вложениями, связанными с вредоносным пакетом npm, и создавали новые пакеты для сохранения доступа, несмотря на существование ранее помеченных вредоносных пакетов. Кампания была направлена на имитацию законных сервисов, особенно нацеленных на Германию, с попытками фишинга, исходящими из доменов, напоминающих фирмы в производственном и инженерном секторах.
-----

В ходе продолжительной кампании фишинга, раскрытой CyberSOC, злоумышленники уже более года нацеливались на пользователей в основном в Европе, злоупотребляя npm, GitHub и общедоступными сетями доставки контента (CDN). Это расследование было начато после взлома учетной записи пользователя из-за фишинга, который включал электронное письмо с HTML-вложением, размещенное на CDN jsDelivr, указывающее на вредоносный пакет npm.

В кампании использовались различные домены, связанные с IP-адресами перенаправителей, на которых в основном размещались простые HTML-файлы, предназначенные для имитации законных сервисов, таких как поддельные страницы OneDrive. Эти файлы сыграли важную роль в облегчении попыток фишинга. При более тщательном изучении было обнаружено, что кампания использует различные пакеты npm в качестве каналов для вредоносного JavaScript. Примечательно, что несколько пакетов npm уже были помечены как вредоносные до начала расследования, однако некоторые файлы оставались доступными, что указывает на постоянные попытки злоумышленника сохранить доступ путем частого создания новых пакетов.

Инфраструктура злоумышленника также перешла с GitHub на npm для размещения вредоносного контента, при этом значительная учетная запись GitHub была создана под именем пользователя "mrmdgl". Эта учетная запись содержала хранилища, в которых изначально размещались файлы JavaScript, обычно используемые в сценариях фишинга. Электронные письма с фишингом были отправлены с поддельных доменов, в значительной степени напоминающих законные компании в производственном и инженерном секторах, что повышало вероятность того, что получатели станут жертвами применяемой тактики.

Географический анализ целей фишинга показал, что основное внимание уделяется Европе, причем Германия является наиболее уязвимой страной. Примерно 60% выявленных целей базировались в Европе, в то время как 26% были расположены в США.

Эта масштабная операция по фишингу иллюстрирует эволюционирующий ландшафт угроз, когда злоумышленники используют знакомые платформы, такие как npm и GitHub, для сокрытия своей вредоносной деятельности, что делает обнаружение все более сложным. Постоянный характер этой кампании подчеркивает необходимость постоянного мониторинга и адаптированных мер безопасности для противодействия этим типам изощренных угроз.

#ParsedReport #CompletenessHigh
23-09-2025

CISA Shares Lessons Learned from an Incident Response Engagement

https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-266a

Report completeness: High

Threats:
Chinachopper
Dirty_cow_vuln
Ringq_tool
Fscan_tool
Netstat_tool
Lolbin_technique
Bitsadmin_tool
Stowaway_tool
Iox_tool

Victims:
U.s. federal civilian executive branch agency

Industry:
Critical_infrastructure

Geo:
China

CVEs:
CVE-2024-36401 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2016-5195 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 11
Technics: 22

IOCs:
File: 15
Path: 3
IP: 3
Hash: 7

Soft:
GeoServer, GeoServers, Burp Suite, Linux, curl, BusyBox

Algorithms:
zip, md5

Win Services:
BITS

Languages:
php, javascript, powershell

Links:
https://github.com/T4y1oR/RingQ
https://github.com/geotools/geotools/security/advisories/GHSA-w3pj-wh35-fq8w
https://github.com/firefart/dirtycow
have more...

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Федеральное агентство США подверглось взлому после того, как злоумышленники воспользовались критической уязвимостью CVE-2024-36401 в его геосервере, что позволило удаленно выполнить код. Первоначальная разведка была проведена с использованием Burp Suite, за которой последовали сценарии закрепления и повышения привилегий с помощью эксплойта "dirtycow" (CVE-2016-5195). Злоумышленники использовали PowerShell для перемещения внутри компании, оставались незамеченными в течение трех недель и использовали неадекватные протоколы мониторинга и реагирования на инциденты.
-----

В недавнем инциденте, связанном с федеральным гражданским агентством исполнительной власти США, CISA подробно изложила критические выводы из своего взаимодействия после обнаружения потенциальной вредоносной активности с помощью инструментов EDR агентства. Инцидент выявил значительные пробелы в системе безопасности, включая задержки с исправлением уязвимостей, отсутствие тестирования плана реагирования на инциденты (IRP) и недостаточный постоянный мониторинг предупреждений EDR.

Злоумышленники воспользовались критической уязвимостью (CVE-2024-36401) на общедоступном геосервере агентства, чтобы получить первоначальный доступ 11 июля 2024 года. Эта уязвимость позволяет пользователям, не прошедшим проверку подлинности, выполнять удаленное выполнение кода (RCE) на уязвимых версиях GeoServer. Первоначальные усилия по разведке включали такие инструменты, как Burp Suite, для выявления уязвимости в сети агентства, что привело к использованию сценариев и инструментов для установления закрепления.

Получив доступ, злоумышленники использовали методы "eval injection" для RCE и попытались загрузить файл JavaScript для извлечения информации о веб-сервере, хотя эта попытка не увенчалась успехом. Они еще больше повысили привилегии, используя инструмент "dirtycow", который использует заметную уязвимость Linux (CVE-2016-5195). В своей тактике уклонения акторы выполняли косвенные команды через Веб-шеллы .php и использовали Задания BITS для своих операций.

Для перемещения внутри компании они использовали такие функции, как PowerShell, для загрузки дополнительных полезных данных и включили xp_cmdshell на геосервере, что облегчило перемещение на SQL server. Мониторинг CISA выявил, что злоумышленники действовали незамеченными в течение примерно трех недель, что в конечном итоге привело к появлению предупреждений EDR на SQL Server при загрузке подозрительного вредоносного ПО.

CISA сформулировала несколько уроков, извлеченных из этого инцидента, в частности, неспособность оперативно устранить выявленные уязвимости, что позволило использовать CVE-2024-36401 в установленные сроки, что продемонстрировало неэффективность управления известными угрозами. IRP агентства не был реализован, что привело к задержкам с привлечением CISA для оказания помощи и выявило недостаточность сбора данных о критических ситуациях и мониторинга событий.

Этот инцидент подчеркивает необходимость упреждающих методов управления уязвимостями, своевременного исправления уязвимых систем и важность тщательного тестирования планов реагирования для обеспечения готовности к потенциальным киберугрозам. В результате этого взаимодействия организациям напоминают о критическом характере постоянного мониторинга угроз и ценности отработки реагирования на инциденты с помощью настольных упражнений, чтобы избежать будущих уязвимостей и векторов атак.

#ParsedReport #CompletenessLow
23-09-2025

From El Dorado to BlackLock: Inside a Fast-Rising RaaS Threat

https://asec.ahnlab.com/en/90175/

Report completeness: Low

Threats:
Eldorado_ransomware
Shadow_copies_delete_technique
Ransom/mdp.behavior.m2649
Ransom/mdp.decoy.m1171
Ransom/mdp.event.m1946
Ransom/mdp.event.m1785
Ransom/mdp.event.m4353
Ransom/mdp.event.m4428
Trojan/win.generic.c5775331

Victims:
Multiple companies

Industry:
Transport, Education, Government

Geo:
Russian, Korea, Japan

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.002, T1486

IOCs:
File: 3
Hash: 1

Soft:
Linux, ESXi

Algorithms:
ecdh, md5, xchacha20

Functions:
NewUnauthenticatedCipher, XORKeyStream

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
BlackLock, недавно выявленная группа программ-вымогателей, действующая с марта 2024 года, использует вредоносное ПО на базе Go для нацеливания на среды Windows, Linux и VMware ESXi, что позволяет проводить кросс-платформенные атаки. Их сложная методика шифрования генерирует уникальные ключи для каждого файла, которые затем дважды шифруются, что усложняет восстановление данных. Группа использует как локальные диски, так и общие папки SMB в Windows, усиливая их воздействие в различных отраслях и демонстрируя их универсальность и активное присутствие угроз.
-----

BlackLock - это недавно появившаяся группа программ-вымогателей, которая появилась на свет в июне 2024 года, хотя считается, что она тайно действовала примерно с марта 2024 года. Первоначально действовавшая под названием ElDorado, группа провела ребрендинг на BlackLock примерно в сентябре 2024 года. Существование группы было подчеркнуто их специальным сайтом утечек (DLS), на котором отображалась информация о нескольких скомпрометированных компаниях, указывающая на их активное участие в атаках до их публичного раскрытия.

Вредоносное ПО, используемое BlackLock, разработано на Go, который характеризуется кроссплатформенными возможностями, позволяющими ему нацеливаться на среды Windows, Linux и VMware ESXi. Такая гибкость расширяет потенциальную зону атаки, позволяя программе-вымогателю воздействовать на различные операционные системы одновременно. Стандартная библиотека Go используется злоумышленниками для создания двоичных файлов, которые могут запускаться на разных платформах с минимальными настройками, с интегрированными функциями шифрования, упрощенными благодаря встроенным пакетам для кодирования и криптографических функций.

Методология шифрования программы-вымогателя сложна; она генерирует уникальный ключ шифрования для каждого отдельного файла, добавляя еще один уровень сложности путем дальнейшего шифрования этих ключей с помощью общего ключа. Этот метод значительно затрудняет усилия по восстановлению без вмешательства злоумышленников. В частности, в среде Windows BlackLock атакует не только локальные диски, но и общие папки SMB, тем самым увеличивая масштабы и воздействие своих атак. Кроме того, способность группы адаптировать свои программы-вымогатели для систем Linux и VMware ESXi усиливает ее профиль угроз, что делает BlackLock одной из самых универсальных и активных групп программ-вымогателей, действующих в настоящее время, воздействие которой ощущается во множестве отраслей, а не ограничивается конкретным сектором.

#ParsedReport #CompletenessLow
23-09-2025

BlockBlasters: Infected Steam game downloads malware disguised as patch

https://www.gdatasoftware.com/blog/2025/09/38265-steam-blockblasters-game-downloads-malware

Report completeness: Low

Actors/Campaigns:
Encrypthub

Threats:
Stealc

Victims:
Gamers, Steam users

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1059.003, T1059.005, T1082, T1105, T1204.002, T1518, T1555, T1562.001, have more...

IOCs:
Url: 3
File: 3
Hash: 9

Soft:
BlockBlasters, Steam, BlockBlaster, SteamDB, Windows Defender, Microsoft Defender, Google Chrome, Microsoft Edge

Algorithms:
rc4, sha256, exhibit

Win Services:
bits

Languages:
python, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
2D-платформер BlockBlasters был взломан с целью распространения вредоносного ПО, которое извлекает конфиденциальные пользовательские данные, включая информацию о кошельке криптовалюты. Атака инициируется с помощью пакетного файла "game2.bat", в котором собираются такие данные, как IP-адреса и учетные данные Steam, которые затем отправляются на сервер управления. Дополнительные скрипты еще больше облегчают атаку, уклоняясь от обнаружения антивирусом и внедряя бэкдоры и средства кражи данных, что создает значительные риски для безопасности игроков.
-----

2D-платформер BlockBlasters, получивший патч 30 августа, был идентифицирован как источник распространения вредоносного ПО. Во время игрового процесса взломанная игра извлекает конфиденциальные данные с компьютера пользователя, включая информацию о криптовалютном кошельке, что потенциально затрагивает сотни игроков.

Начальный этап атаки выполняется с помощью пакетного файла с именем "game2.bat". Этот скрипт выполняет несколько вредоносных действий, которые нетипичны для легальной игры. Он собирает IP-адрес и местоположение пользователя, запрашивая такие сервисы, как "ipinfo.io ," выполняет поиск запущенных процессов, связанных с антивирусным программным обеспечением, и собирает учетные данные для входа в Steam, которые он сохраняет для дальнейшего использования. Собранная информация загружается на сервер командования и контроля (C2) по адресу "hxxp://203.188.171.156:30815/upload". Кроме того, он запускает скрипты VBS с именами "launch1.vbs" и "test.vbs", которые, вероятно, облегчают дальнейшие вредоносные операции.

Пакетный файл "test.bat" также используется для извлечения сведений о расширениях браузера и криптовалютных кошельках, отправляя эту информацию на тот же сервер C2. Процесс расширяется с помощью "1.bat", который освобождает путь установки игры от проверки антивирусом Microsoft Defender, позволяя вредоносным исполняемым файлам оставаться незамеченными. Этот файл распаковывает защищенный паролем архив с именем "v3.zip " (SHA256: 58a97ab524b704172a8f68fda92daa802b706e397adede410b6475a4eb229c9b) и выполняет файлы внутри него, специально нацеливаясь на исполняемый файл игры, чтобы замаскировать истинную природу атаки.

Извлеченные полезные грузы включают в себя два особенно вредных компонента: "Client-built2.exe , "который функционирует как черный ход, и "Block1.exe ," который действует как Stealer. Наблюдения по данным телеметрии указывают на минимальное количество активных пользователей (1-4) и более 100 загрузок с момента установки вредоносного исправления.

В ответ на эти открытия игра была помечена как "подозрительная" на таких платформах, как SteamDB, и впоследствии удалена из Steam. Этот инцидент подчеркивает ощутимые риски, связанные с распространением вредоносного ПО через, казалось бы, безобидные источники, такие как видеоигры, подчеркивая важность бдительности в области безопасности в цифровой среде.

#ParsedReport #CompletenessLow
22-09-2025

Malicious fezbox npm Package Steals Browser Passwords from Cookies via Innovative QR Code Steganographic Technique

https://socket.dev/blog/malicious-fezbox-npm-package-steals-browser-passwords-from-cookies-via-innovative-qr-code

Report completeness: Low

Threats:
Steganography_technique
Supply_chain_technique

Victims:
Npm ecosystem users, Software developers

Industry:
Transport

Geo:
Chinese

TTPs:
Tactics: 1
Technics: 9

IOCs:
File: 28
Url: 2

Soft:
Outlook

Functions:
setTimeout

Languages:
javascript, typescript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Пакет Fezbox npm, замаскированный под утилиту JavaScript и TypeScript, использует QR-коды для Стеганографии, чтобы нарушить безопасность браузера и извлечь конфиденциальную информацию. Этот метод использует Компрометацию цепочки поставок, выполнение команд с помощью JavaScript и эксфильтрацию данных Сессионных куки. Злоумышленники используют методы для маскировки своих действий, включая виртуальные проверки и стратегии уклонения, основанные на времени, что иллюстрирует изощренный подход к проникновению в целевые системы.
-----

Вредоносный пакет npm, известный как Fezbox, замаскированный под служебную библиотеку для JavaScript и TypeScript, использует инновационную технологию с использованием QR-кодов для Стеганографии, чтобы поставить под угрозу безопасность браузера. Рекламируемый на упрощенном китайском языке, этот пакет призван предлагать общие вспомогательные функции, но вместо этого включает в себя гнусные функции, предназначенные для извлечения конфиденциальной информации у пользователей.

Fezbox использует QR-коды в качестве скрытого средства для внедрения вредоносных полезных данных. Этот метод особенно примечателен, поскольку он представляет собой творческое использование Стеганографии, позволяющее злоумышленникам скрывать свои вредоносные действия в том, что кажется обычными данными. QR-коды обычно направляют пользователей на веб-сайты; однако в данном случае они функционируют как средство для извлечения паролей браузера, хранящихся в файлах cookie.

Атака использует несколько тактик, описанных в рамках MITRE ATT&CK framework. В частности, он подпадает под категорию Компрометации цепочки поставок (T1195.002), иллюстрируя, как можно манипулировать supply Chains программного обеспечения для вставки вредоносных компонентов. Действия, связанные с выполнением команд, выполняются с помощью JavaScript (T1059.007), в то время как злоумышленники передают инструменты для доступа к данным (T1105) и Кражи сессионных куки (T1539) во время операции. Техника Стеганографии, используемая для обфускации (T1001.002), демонстрирует сложный метод сокрытия вредоносных намерений QR-кодов в программном обеспечении. Кроме того, злоумышленники могут уклоняться от обнаружения с помощью виртуальных проверок (T1497.001) и использовать стратегии уклонения, основанные на времени (T1497.003), повышая свои шансы на успешное проникновение в целевые системы без предупреждения.

Этот случай подчеркивает эволюционирующий ландшафт киберугроз, где множество обфускаций и инновационных методов могут значительно усилить риски, связанные с уязвимостями supply chain программного обеспечения. Использование QR-кодов для таких стеганографических целей знаменует собой заметный сдвиг в методах, используемых злоумышленниками, что требует повышенной бдительности как разработчиков, так и пользователей в отношении управления зависимостями и целостности программных пакетов.

#ParsedReport #CompletenessLow
23-09-2025

A new attack using Phantomrshell backdor

https://habr.com/ru/companies/pt/articles/947258/

Report completeness: Low

Actors/Campaigns:
Phantomcore

Threats:
Phantomrshell
Polyglot_technique
Proxyshell_vuln
Proxylogon_exploit
Phantomcore

Victims:
Defense sector, Industrial sector, Banking sector, Russian organizations

Industry:
Financial

Geo:
Russian

CVEs:
CVE-2022-41080 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2022-41082 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1027, T1071.003, T1566.002

IOCs:
File: 6
Hash: 2
IP: 5
Path: 1

Soft:
Outlook

Wallets:
harmony_wallet

Algorithms:
curve25519, sha256, zip

Win Services:
bits

Links:
https://gist.github.com/EvanMcBroom/ace2a9af19fb5e7b2451b1cd4c07bf96

#ParsedReport #ExtractedSchema

Classified images:
code: 6, schema: 2, dump: 3, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В августе кибератака с использованием бэкдора Phantomrshell была направлена против российского оборонного, промышленного и банковского секторов, первоначально ошибочно идентифицированная как массовый фишинг. Злоумышленники использовали скомпрометированную инфраструктуру электронной почты законного отправителя, используя электронные письма со структурой polyglot file, которая объединяла форматы DLL, PDF и ZIP, чтобы избежать традиционных методов обнаружения. Поведенческий анализ показал, что вредоносные электронные письма передавались внутри компании, что позволяло злоумышленникам обходить протоколы безопасности и повышать успешность проникновения.
-----

В августе аналитики по безопасности выявили сложную кибератаку с использованием нового вредоносного ПО, известного как бэкдор Phantomrshell, нацеленную на российский оборонный, промышленный секторы и банковские организации. Первоначально это считалось массовым фишингом из-за появления скомпрометированных серверов, но позже выяснилось, что злоумышленники использовали законного отправителя, инфраструктура электронной почты которого была взломана.

Атака была обнаружена с помощью методов поведенческого анализа, примененных в PT Sandbox, которые выявили вредоносную активность 24 августа, что совпало с началом атак на идентифицированные секторы. Электронные письма, использованные в этой операции, не обладали типичными характеристиками фишинга, что потенциально позволяло им обходить обычные меры безопасности электронной почты.

Вредоносные вложения, содержащиеся в этих электронных письмах, были замаскированы в структуре polyglot file. Этот инновационный подход включал объединение трех различных типов файлов: файла библиотеки динамических ссылок (DLL), файла в формате переносимого документа (PDF) и ZIP-архива. Этот метод объединения нескольких типов файлов в одно вложение создает уникальные проблемы для обнаружения, поскольку каждый компонент сам по себе может восприниматься как безобидный.

При дальнейшем расследовании данные из заголовков электронных писем выявили путь маршрутизации скомпрометированного отправителя через различные почтовые серверы, что указывает на то, что вредоносное электронное письмо было ретранслировано внутри сети жертвы перед отправкой предполагаемым получателям. Такое тщательное сопоставление позволило злоумышленникам обойти определенные протоколы безопасности, используя обычные корпоративные каналы связи, что повысило вероятность успешного проникновения.