#ParsedReport #CompletenessMedium
23-09-2025
Operation Rewrite: Chinese-Speaking Threat Actors Deploy BadIIS in a Wide Scale SEO Poisoning Campaign
https://unit42.paloaltonetworks.com/operation-rewrite-seo-poisoning-campaign/
Report completeness: Medium
Actors/Campaigns:
Rewrite (motivation: financially_motivated)
Dragonrank
Threats:
Seo_poisoning_technique
Badiis
Cloaking_technique
Victims:
Websites, Digital ecosystem of vietnam
Industry:
Government, Media
Geo:
Asia, Vietnamese, Vietnam, Chinese
ChatGPT TTPs:
T1071.001, T1105, T1190, T1505.004
IOCs:
Url: 30
Domain: 7
Hash: 30
Soft:
ASP.NET, coccoc
Algorithms:
zip, sha256, xor
Functions:
SetRequestNotifications, Page_Load, RegisterModule
Languages:
javascript, php
23-09-2025
Operation Rewrite: Chinese-Speaking Threat Actors Deploy BadIIS in a Wide Scale SEO Poisoning Campaign
https://unit42.paloaltonetworks.com/operation-rewrite-seo-poisoning-campaign/
Report completeness: Medium
Actors/Campaigns:
Rewrite (motivation: financially_motivated)
Dragonrank
Threats:
Seo_poisoning_technique
Badiis
Cloaking_technique
Victims:
Websites, Digital ecosystem of vietnam
Industry:
Government, Media
Geo:
Asia, Vietnamese, Vietnam, Chinese
ChatGPT TTPs:
do not use without manual checkT1071.001, T1105, T1190, T1505.004
IOCs:
Url: 30
Domain: 7
Hash: 30
Soft:
ASP.NET, coccoc
Algorithms:
zip, sha256, xor
Functions:
SetRequestNotifications, Page_Load, RegisterModule
Languages:
javascript, php
Unit 42
Operation Rewrite: Chinese-Speaking Threat Actors Deploy BadIIS in a Wide Scale SEO Poisoning Campaign
SEO poisoning campaign "Operation Rewrite” uses a malicious IIS module called BadIIS to redirect users to unwanted websites.
CTT Report Hub
#ParsedReport #CompletenessMedium 23-09-2025 Operation Rewrite: Chinese-Speaking Threat Actors Deploy BadIIS in a Wide Scale SEO Poisoning Campaign https://unit42.paloaltonetworks.com/operation-rewrite-seo-poisoning-campaign/ Report completeness: Medium…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В марте 2025 года злоумышленник, говорящий по-китайски, обозначенный как CL-UNK-1037, провел "Операцию переписывания", кампанию по Отравлению поисковой оптимизации (SEO) с использованием вредоносного ПО BadIIS, которое интегрируется в веб-серверы IIS для изменения результатов Поисковой системы. Атака разворачивается в два этапа: сначала она отравляет Поисковые системы контентом, наполненным ключевыми словами, с скомпрометированных авторитетных сайтов, а затем перенаправляет пользователей на мошеннические веб-сайты на основе заголовков их запросов. Варианты BadIIS, в том числе для ASP.NET и PHP, расширяют возможности актора, предполагая связи с ранее выявленными китайскими хакерскими группировками.
-----
В марте 2025 года была выявлена кампания по Отравлению поисковой оптимизации (SEO), получившая название "Операция переписывание", приписываемая китайскоязычному злоумышленнику, известному как CL-UNK-1037. Эта кампания использует вредоносное ПО, известное как BadIIS — вредоносные модули собственных информационных служб Интернета (IIS), которые легко интегрируются в конвейер запросов веб-сервера, предоставляя им широкие привилегии для манипулирования процессами и выполнения различных вредоносных действий.
Вредоносное ПО BadIIS используется для изменения результатов Поисковой системы путем компрометации законных веб-сайтов с хорошей репутацией домена, а не для создания новых сайтов с нуля, что обычно намного сложнее и отнимает много времени. Атака проводится в два этапа: первый включает в себя "отравление" Поисковых систем путем перехвата запросов от сканеров и предоставления специализированного контента, наполненного ключевыми словами, направленного на повышение индексируемой релевантности скомпрометированного сайта. На втором этапе, когда пользователь нажимает на ошибочный результат, вредоносное ПО проверяет заголовки, чтобы определить, исходит ли запрос от жертвы, и перенаправляет пользователя на мошеннический веб-сайт, эффективно перехватывая административный контроль над исходной веб-страницей.
Анализ вредоносного ПО и его инфраструктуры выявил дополнительные возможности, включая развертывание Веб-шеллов на скомпрометированных серверах, создание удаленных запланированных задач для перемещения внутри компании в сетях и сбор данных разведки с целевых компьютеров. Определенный вариант BadIIS назван "chongxiede", производное от пиньинь, что означает "переписывать" или "перезаписывать заново", что означает сосредоточенность актора на манипулировании веб-контентом.
Было отмечено несколько вариантов BadIIS, в том числе ASP.NET обработчик страниц, использующий основанные на скриптах методы Отравления поисковой оптимизации (SEO), управляемый .Модуль NET IIS для обработки запросов и скрипт на основе PHP, который управляет перенаправлением пользователей, используя динамические стратегии SEO. Каждый вариант адаптирует основные функциональные возможности BadIIS к различным архитектурам Веб-служб.
Собранные доказательства убедительно указывают на злоумышленника, говорящего на китайском языке, с лингвистическими подсказками и анализом инфраструктуры, связывающими эти атаки с ранее зарегистрированными группами. Шаблоны в дизайне кода совпадают с теми, которые приписываются группе 9, а дополнительные черты предполагают возможные ассоциации с кампанией DragonRank, также связанной с китайскоязычными акторами.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В марте 2025 года злоумышленник, говорящий по-китайски, обозначенный как CL-UNK-1037, провел "Операцию переписывания", кампанию по Отравлению поисковой оптимизации (SEO) с использованием вредоносного ПО BadIIS, которое интегрируется в веб-серверы IIS для изменения результатов Поисковой системы. Атака разворачивается в два этапа: сначала она отравляет Поисковые системы контентом, наполненным ключевыми словами, с скомпрометированных авторитетных сайтов, а затем перенаправляет пользователей на мошеннические веб-сайты на основе заголовков их запросов. Варианты BadIIS, в том числе для ASP.NET и PHP, расширяют возможности актора, предполагая связи с ранее выявленными китайскими хакерскими группировками.
-----
В марте 2025 года была выявлена кампания по Отравлению поисковой оптимизации (SEO), получившая название "Операция переписывание", приписываемая китайскоязычному злоумышленнику, известному как CL-UNK-1037. Эта кампания использует вредоносное ПО, известное как BadIIS — вредоносные модули собственных информационных служб Интернета (IIS), которые легко интегрируются в конвейер запросов веб-сервера, предоставляя им широкие привилегии для манипулирования процессами и выполнения различных вредоносных действий.
Вредоносное ПО BadIIS используется для изменения результатов Поисковой системы путем компрометации законных веб-сайтов с хорошей репутацией домена, а не для создания новых сайтов с нуля, что обычно намного сложнее и отнимает много времени. Атака проводится в два этапа: первый включает в себя "отравление" Поисковых систем путем перехвата запросов от сканеров и предоставления специализированного контента, наполненного ключевыми словами, направленного на повышение индексируемой релевантности скомпрометированного сайта. На втором этапе, когда пользователь нажимает на ошибочный результат, вредоносное ПО проверяет заголовки, чтобы определить, исходит ли запрос от жертвы, и перенаправляет пользователя на мошеннический веб-сайт, эффективно перехватывая административный контроль над исходной веб-страницей.
Анализ вредоносного ПО и его инфраструктуры выявил дополнительные возможности, включая развертывание Веб-шеллов на скомпрометированных серверах, создание удаленных запланированных задач для перемещения внутри компании в сетях и сбор данных разведки с целевых компьютеров. Определенный вариант BadIIS назван "chongxiede", производное от пиньинь, что означает "переписывать" или "перезаписывать заново", что означает сосредоточенность актора на манипулировании веб-контентом.
Было отмечено несколько вариантов BadIIS, в том числе ASP.NET обработчик страниц, использующий основанные на скриптах методы Отравления поисковой оптимизации (SEO), управляемый .Модуль NET IIS для обработки запросов и скрипт на основе PHP, который управляет перенаправлением пользователей, используя динамические стратегии SEO. Каждый вариант адаптирует основные функциональные возможности BadIIS к различным архитектурам Веб-служб.
Собранные доказательства убедительно указывают на злоумышленника, говорящего на китайском языке, с лингвистическими подсказками и анализом инфраструктуры, связывающими эти атаки с ранее зарегистрированными группами. Шаблоны в дизайне кода совпадают с теми, которые приписываются группе 9, а дополнительные черты предполагают возможные ассоциации с кампанией DragonRank, также связанной с китайскоязычными акторами.
#cti #webimar
«Код Безопасности» и «Технологии киберугроз» проведут вебинар по TI и моделированию угроз на его основе.
30 сентября в 11:00 (МСК) эксперты «Кода Безопасности» и «Технологии киберугроз» проведут вебинар на тему «Моделирование угроз безопасности и Threat Intelligence». Участники узнают, как интегрировать разведывательные данные в практические модели для предотвращения современных кибератак.
Ключевые вопросы вебинара:
- текущий ландшафт киберугроз и основные тренды;
- необходимость моделирования угроз и доступные методики;
- практическое использование данных из отчетов TI для построения моделей угроз.
Участники: эксперты «Кода Безопасности» и «Технологии киберугроз».
Как подключиться: для участия в вебинаре необходимо зарегистрироваться по ссылке.
Когда: 30 сентября, 11:00 (МСК).
Регистрация здесь
«Код Безопасности» и «Технологии киберугроз» проведут вебинар по TI и моделированию угроз на его основе.
30 сентября в 11:00 (МСК) эксперты «Кода Безопасности» и «Технологии киберугроз» проведут вебинар на тему «Моделирование угроз безопасности и Threat Intelligence». Участники узнают, как интегрировать разведывательные данные в практические модели для предотвращения современных кибератак.
Ключевые вопросы вебинара:
- текущий ландшафт киберугроз и основные тренды;
- необходимость моделирования угроз и доступные методики;
- практическое использование данных из отчетов TI для построения моделей угроз.
Участники: эксперты «Кода Безопасности» и «Технологии киберугроз».
Как подключиться: для участия в вебинаре необходимо зарегистрироваться по ссылке.
Когда: 30 сентября, 11:00 (МСК).
Регистрация здесь
Mts-link.ru
Моделирование угроз безопасности и Threat Intelligence
На вебинаре «Код Безопасности» и «Технологии кибергуроз» разберут современные методы моделирования угроз безопасности информации с учетом данных Threat Intelligence (TI).
Ключевые темы:
- Текущий ландшафт киберугроз
- В чем заключается необходимость моделирования…
Ключевые темы:
- Текущий ландшафт киберугроз
- В чем заключается необходимость моделирования…
CTT Report Hub pinned «#cti #webimar «Код Безопасности» и «Технологии киберугроз» проведут вебинар по TI и моделированию угроз на его основе. 30 сентября в 11:00 (МСК) эксперты «Кода Безопасности» и «Технологии киберугроз» проведут вебинар на тему «Моделирование угроз безопасности…»
#ParsedReport #CompletenessHigh
24-09-2025
Another BRICKSTORM: Stealthy Backdoor Enabling Espionage into Tech and Legal Sectors
https://cloud.google.com/blog/topics/threat-intelligence/brickstorm-espionage-campaign/
Report completeness: High
Actors/Campaigns:
Unc5221
Hafnium
Apt29
Threats:
Brickstorm
Garble_tool
Bricksteal
Slaystyle
Victims:
Legal services, Software as a service providers, Business process outsourcers, Technology sector, United states
Industry:
Bp_outsourcing
Geo:
China
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1021.001, T1021.004, T1056.004, T1059.004, T1078, T1078.004, T1098, T1114.002, T1136.001, T1190, have more...
IOCs:
File: 25
Path: 3
Hash: 2
Soft:
Linux, ESXi, Apache Tomcat, Active Directory, Active Directory Domain Services, systemd, Windows Explorer, sudo, Outlook
Algorithms:
zip, md5
Win API:
decompress, copyFile, DeleteFile
Languages:
java, powershell
Platforms:
cross-platform
YARA: Found
Links:
have more...
24-09-2025
Another BRICKSTORM: Stealthy Backdoor Enabling Espionage into Tech and Legal Sectors
https://cloud.google.com/blog/topics/threat-intelligence/brickstorm-espionage-campaign/
Report completeness: High
Actors/Campaigns:
Unc5221
Hafnium
Apt29
Threats:
Brickstorm
Garble_tool
Bricksteal
Slaystyle
Victims:
Legal services, Software as a service providers, Business process outsourcers, Technology sector, United states
Industry:
Bp_outsourcing
Geo:
China
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1021.001, T1021.004, T1056.004, T1059.004, T1078, T1078.004, T1098, T1114.002, T1136.001, T1190, have more...
IOCs:
File: 25
Path: 3
Hash: 2
Soft:
Linux, ESXi, Apache Tomcat, Active Directory, Active Directory Domain Services, systemd, Windows Explorer, sudo, Outlook
Algorithms:
zip, md5
Win API:
decompress, copyFile, DeleteFile
Languages:
java, powershell
Platforms:
cross-platform
YARA: Found
Links:
https://github.com/burrowers/garblehttps://github.com/mandiant/brickstorm-scannerhttps://github.com/denandz/SecretServerSecretStealerhave more...
Google Cloud Blog
Another BRICKSTORM: Stealthy Backdoor Enabling Espionage into Tech and Legal Sectors | Google Cloud Blog
BRICKSTORM is a stealthy backdoor used by suspected China-nexus actors for long-term espionage.
CTT Report Hub
#ParsedReport #CompletenessHigh 24-09-2025 Another BRICKSTORM: Stealthy Backdoor Enabling Espionage into Tech and Legal Sectors https://cloud.google.com/blog/topics/threat-intelligence/brickstorm-espionage-campaign/ Report completeness: High Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
BRICKSTORM - это написанное на ходу бэкдорное вредоносное ПО, нацеленное на юридический, технологический и SaaS-секторы в США, облегчающее постоянный доступ для шпионажа и потенциальное создание эксплойтов zero-day. Он работает на устройствах Linux и BSD, в частности на хостах VMware vCenter и ESXi, путем кражи учетных данных и установки вредоносного фильтра Java-сервлетов BRICKSTEAL для сбора учетных данных HTTP-запросов. Злоумышленники адаптируют тактику для использования скомпрометированных систем, извлекая конфиденциальные данные через приложения Microsoft Entra ID, одновременно используя административный доступ для повышения привилегий.
-----
Вредоносное ПО BRICKSTORM, отслеживаемое группой Google по анализу угроз, стало серьезной киберугрозой, деятельность которой с марта 2025 года в основном направлена против юридического, технологического и SaaS-секторов в Соединенных Штатах. Mandiant Consulting обнаружила, что это вредоносное ПО используется злоумышленниками для получения постоянного доступа к целевым организациям, использования их сетей для шпионажа и, возможно, для содействия разработке эксплойтов zero-day.
BRICKSTORM работает как бэкдор с возможностями SOCKS-прокси и написан на Go, обеспечивая кроссплатформенную функциональность, которая позволяет его развертывать в различных системах устройств, особенно в тех, где отсутствуют традиционные средства обнаружения конечных точек и реагирования (EDR). Это вредоносное ПО, в частности, обнаруживается на устройствах на базе Linux и BSD, причем часто целевой инфраструктурой являются хосты VMware vCenter и ESXi. Злоумышленники обычно используют эти системы, захватывая действительные учетные данные либо с помощью предыдущего доступа, либо изменяя критически важные системные файлы, чтобы гарантировать запуск бэкдора при перезагрузке устройства.
Один из выделенных механизмов работы BRICKSTORM включает установку вредоносного фильтра Java-сервлетов, называемого BRICKSTEAL, в веб-интерфейсе Apache Tomcat сервера vCenter. Этот фильтр скрытно перехватывает учетные данные из HTTP-запросов, особенно в средах, где используется проверка подлинности Active Directory, что создает серьезный риск повышения привилегий, поскольку пользователи, входящие в vCenter, часто имеют значительный доступ к сети организации.
Злоумышленник, вероятно, стремится перемещаться по сетям, используя скомпрометированные устройства и ранее захваченные учетные данные, что позволяет ему устанавливать BRICKSTORM на критически важные системы. Кроме того, они часто адаптируют свою тактику для использования ресурсов, получения доступа к Учетным записям эл. почты ключевых сотрудников и извлечения конфиденциальной информации с помощью приложений Microsoft Entra ID с более широкими возможностями доступа к почте.
Учитывая наблюдаемую сложность эксплуатации, Mandiant подчеркивает необходимость принятия подхода к поиску угроз, основанного на TTP, вместо того, чтобы полагаться исключительно на традиционные индикаторы компрометации (IOCs), которые могут оказаться неэффективными против динамической операционной модели BRICKSTORM's. Для усиления защиты организациям рекомендуется вести подробный учет активов, особенно устройств, которые могут быть пропущены стандартными протоколами безопасности, и тщательно отслеживать необычную сетевую активность или схемы несанкционированного доступа.
Наконец, руководящие принципы ужесточения предполагают ограничение доступа к Интернету для устройств и обеспечение того, чтобы системы не имели ненужных возможностей внутренней сетевой связи. Основное внимание по-прежнему уделяется смягчению различных угроз, связанных с операциями BRICKSTORM, которые варьируются от геополитического шпионажа до попыток кражи интеллектуальной собственности, что подчеркивает острую необходимость для организаций в уязвимых секторах активно укреплять свои системы безопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
BRICKSTORM - это написанное на ходу бэкдорное вредоносное ПО, нацеленное на юридический, технологический и SaaS-секторы в США, облегчающее постоянный доступ для шпионажа и потенциальное создание эксплойтов zero-day. Он работает на устройствах Linux и BSD, в частности на хостах VMware vCenter и ESXi, путем кражи учетных данных и установки вредоносного фильтра Java-сервлетов BRICKSTEAL для сбора учетных данных HTTP-запросов. Злоумышленники адаптируют тактику для использования скомпрометированных систем, извлекая конфиденциальные данные через приложения Microsoft Entra ID, одновременно используя административный доступ для повышения привилегий.
-----
Вредоносное ПО BRICKSTORM, отслеживаемое группой Google по анализу угроз, стало серьезной киберугрозой, деятельность которой с марта 2025 года в основном направлена против юридического, технологического и SaaS-секторов в Соединенных Штатах. Mandiant Consulting обнаружила, что это вредоносное ПО используется злоумышленниками для получения постоянного доступа к целевым организациям, использования их сетей для шпионажа и, возможно, для содействия разработке эксплойтов zero-day.
BRICKSTORM работает как бэкдор с возможностями SOCKS-прокси и написан на Go, обеспечивая кроссплатформенную функциональность, которая позволяет его развертывать в различных системах устройств, особенно в тех, где отсутствуют традиционные средства обнаружения конечных точек и реагирования (EDR). Это вредоносное ПО, в частности, обнаруживается на устройствах на базе Linux и BSD, причем часто целевой инфраструктурой являются хосты VMware vCenter и ESXi. Злоумышленники обычно используют эти системы, захватывая действительные учетные данные либо с помощью предыдущего доступа, либо изменяя критически важные системные файлы, чтобы гарантировать запуск бэкдора при перезагрузке устройства.
Один из выделенных механизмов работы BRICKSTORM включает установку вредоносного фильтра Java-сервлетов, называемого BRICKSTEAL, в веб-интерфейсе Apache Tomcat сервера vCenter. Этот фильтр скрытно перехватывает учетные данные из HTTP-запросов, особенно в средах, где используется проверка подлинности Active Directory, что создает серьезный риск повышения привилегий, поскольку пользователи, входящие в vCenter, часто имеют значительный доступ к сети организации.
Злоумышленник, вероятно, стремится перемещаться по сетям, используя скомпрометированные устройства и ранее захваченные учетные данные, что позволяет ему устанавливать BRICKSTORM на критически важные системы. Кроме того, они часто адаптируют свою тактику для использования ресурсов, получения доступа к Учетным записям эл. почты ключевых сотрудников и извлечения конфиденциальной информации с помощью приложений Microsoft Entra ID с более широкими возможностями доступа к почте.
Учитывая наблюдаемую сложность эксплуатации, Mandiant подчеркивает необходимость принятия подхода к поиску угроз, основанного на TTP, вместо того, чтобы полагаться исключительно на традиционные индикаторы компрометации (IOCs), которые могут оказаться неэффективными против динамической операционной модели BRICKSTORM's. Для усиления защиты организациям рекомендуется вести подробный учет активов, особенно устройств, которые могут быть пропущены стандартными протоколами безопасности, и тщательно отслеживать необычную сетевую активность или схемы несанкционированного доступа.
Наконец, руководящие принципы ужесточения предполагают ограничение доступа к Интернету для устройств и обеспечение того, чтобы системы не имели ненужных возможностей внутренней сетевой связи. Основное внимание по-прежнему уделяется смягчению различных угроз, связанных с операциями BRICKSTORM, которые варьируются от геополитического шпионажа до попыток кражи интеллектуальной собственности, что подчеркивает острую необходимость для организаций в уязвимых секторах активно укреплять свои системы безопасности.
#ParsedReport #CompletenessHigh
24-09-2025
COLDRIVER Updates Arsenal with BAITSWITCH and SIMPLEFIX
https://www.zscaler.com/blogs/security-research/coldriver-updates-arsenal-baitswitch-and-simplefix
Report completeness: High
Actors/Campaigns:
Seaborgium
Threats:
Baitswitch
Simplefix
Clickfix_technique
Netstat_tool
Lostkeys
Clickflix_technique
Victims:
Civil society, Ngos, Think tanks, Journalists, Human rights defenders, Dissidents and their supporters
Industry:
Ngo
Geo:
Russian, Russia
TTPs:
Tactics: 8
Technics: 27
IOCs:
File: 4
Email: 1
Registry: 5
Domain: 4
Url: 13
Hash: 3
Command: 2
Soft:
Cloudflare Turnstile, Windows registry
Algorithms:
base64, aes
Win Services:
WebClient
Languages:
powershell, javascript
24-09-2025
COLDRIVER Updates Arsenal with BAITSWITCH and SIMPLEFIX
https://www.zscaler.com/blogs/security-research/coldriver-updates-arsenal-baitswitch-and-simplefix
Report completeness: High
Actors/Campaigns:
Seaborgium
Threats:
Baitswitch
Simplefix
Clickfix_technique
Netstat_tool
Lostkeys
Clickflix_technique
Victims:
Civil society, Ngos, Think tanks, Journalists, Human rights defenders, Dissidents and their supporters
Industry:
Ngo
Geo:
Russian, Russia
TTPs:
Tactics: 8
Technics: 27
IOCs:
File: 4
Email: 1
Registry: 5
Domain: 4
Url: 13
Hash: 3
Command: 2
Soft:
Cloudflare Turnstile, Windows registry
Algorithms:
base64, aes
Win Services:
WebClient
Languages:
powershell, javascript
Zscaler
COLDRIVER Adds BAITSWITCH and SIMPLEFIX | ThreatLabz
The Russia-linked group COLDRIVER targeted dissidents and their supporters using a ClickFix technique, resulting in the deployment of BAITSWITCH and SIMPLEFIX.
CTT Report Hub
#ParsedReport #CompletenessHigh 24-09-2025 COLDRIVER Updates Arsenal with BAITSWITCH and SIMPLEFIX https://www.zscaler.com/blogs/security-research/coldriver-updates-arsenal-baitswitch-and-simplefix Report completeness: High Actors/Campaigns: Seaborgium…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В сентябре 2025 года Zscaler ThreatLabZ сообщил о целенаправленной кампании ClickFix, проводимой российской группой по сложным целенаправленным атакам COLDRIVER, в первую очередь нацеленной на НПО и защитников прав человека посредством фишинг-атак. В кампании используются два новых семейства вредоносных ПО, BAITSWITCH (загрузчик) и SIMPLEFIX (бэкдор PowerShell), которые используют методы запутывания, чтобы избежать обнаружения. Атака начинается со взломанного веб-сайта, предназначенного для заманивания жертв, инициируя развертывание вредоносного ПО с помощью PowerShell stager во время входа в Windows, что подчеркивает постоянную способность COLDRIVER's использовать установленные векторы заражения.
-----
В сентябре 2025 года Zscaler ThreatLabZ выявил целевую многоэтапную кампанию по ClickFix, связанную с группой, известной как COLDRIVER, занимающейся сложными целенаправленными атаками с использованием сложных целенаправленных атак с использованием веб-сайтов, связанных с Россией. Эта группа в первую очередь ориентирована на членов гражданского общества, таких как НПО и правозащитники, использующие атаки фишинга в качестве своей основной тактики. Недавние разработки демонстрируют появление двух новых семейств облегченных вредоносных ПО, используемых в этой кампании: BAITSWITCH, загрузчик, и SIMPLEFIX, PowerShell Backdoor. Неизменная эффективность метода ClickFix указывает на его неизменную полезность в стратегиях компромисса, несмотря на отсутствие новизны в техническом исполнении.
Атака начинается со взломанной веб-страницы, предназначенной для представления в качестве информационного ресурса о проблемах гражданского общества, связанных с Россией. На этой странице описана тактика социальной инженерии, включающая поддельный флажок Cloudflare Turnstile, побуждающий жертв выполнять вредоносные команды через диалоговое окно запуска Windows. Как только жертва подключается к странице, запускается процесс развертывания вредоносного ПО. Первым вредоносным компонентом является программа PowerShell stager, которая запускается при следующем входе в Windows. Он использует определенный параметр командной строки, который задается в разделе реестра сценария входа в систему, позволяя выполнять дальнейшие вредоносные действия.
Бэкдор SIMPLEFIX характеризуется методами обфускации, которые отражают те, которые использовались в исходном сценарии этапа PowerShell. Такое многоуровневое запутывание усложняет анализ и обнаружение. Общая операционная структура вредоносного ПО подтверждает предположение о том, что COLDRIVER остается активным и технически способным использовать установленные векторы заражения для борьбы с диссидентами.
Приписывание этой кампании COLDRIVER основано на различных факторах, включая шаблоны кодирования вредоносного ПО, конкретный профиль целевой жертвы и совпадение TTP с предыдущими действиями, приписываемыми группе. Обнаружение указывает на постоянное использование упрощенного, но эффективного вредоносного ПО и стратегий атак, подчеркивая сохраняющуюся уязвимость сектора гражданского общества к этим типам угроз. Такие меры кибербезопасности, как обеспечение доступа с наименьшими привилегиями и использование технологий управления приложениями, могут эффективно снизить уязвимость, в то время как такие инструменты, как платформы изоляции браузеров, могут дополнительно снизить риски, связанные с взаимодействием пользователей на потенциально опасных веб-сайтах.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В сентябре 2025 года Zscaler ThreatLabZ сообщил о целенаправленной кампании ClickFix, проводимой российской группой по сложным целенаправленным атакам COLDRIVER, в первую очередь нацеленной на НПО и защитников прав человека посредством фишинг-атак. В кампании используются два новых семейства вредоносных ПО, BAITSWITCH (загрузчик) и SIMPLEFIX (бэкдор PowerShell), которые используют методы запутывания, чтобы избежать обнаружения. Атака начинается со взломанного веб-сайта, предназначенного для заманивания жертв, инициируя развертывание вредоносного ПО с помощью PowerShell stager во время входа в Windows, что подчеркивает постоянную способность COLDRIVER's использовать установленные векторы заражения.
-----
В сентябре 2025 года Zscaler ThreatLabZ выявил целевую многоэтапную кампанию по ClickFix, связанную с группой, известной как COLDRIVER, занимающейся сложными целенаправленными атаками с использованием сложных целенаправленных атак с использованием веб-сайтов, связанных с Россией. Эта группа в первую очередь ориентирована на членов гражданского общества, таких как НПО и правозащитники, использующие атаки фишинга в качестве своей основной тактики. Недавние разработки демонстрируют появление двух новых семейств облегченных вредоносных ПО, используемых в этой кампании: BAITSWITCH, загрузчик, и SIMPLEFIX, PowerShell Backdoor. Неизменная эффективность метода ClickFix указывает на его неизменную полезность в стратегиях компромисса, несмотря на отсутствие новизны в техническом исполнении.
Атака начинается со взломанной веб-страницы, предназначенной для представления в качестве информационного ресурса о проблемах гражданского общества, связанных с Россией. На этой странице описана тактика социальной инженерии, включающая поддельный флажок Cloudflare Turnstile, побуждающий жертв выполнять вредоносные команды через диалоговое окно запуска Windows. Как только жертва подключается к странице, запускается процесс развертывания вредоносного ПО. Первым вредоносным компонентом является программа PowerShell stager, которая запускается при следующем входе в Windows. Он использует определенный параметр командной строки, который задается в разделе реестра сценария входа в систему, позволяя выполнять дальнейшие вредоносные действия.
Бэкдор SIMPLEFIX характеризуется методами обфускации, которые отражают те, которые использовались в исходном сценарии этапа PowerShell. Такое многоуровневое запутывание усложняет анализ и обнаружение. Общая операционная структура вредоносного ПО подтверждает предположение о том, что COLDRIVER остается активным и технически способным использовать установленные векторы заражения для борьбы с диссидентами.
Приписывание этой кампании COLDRIVER основано на различных факторах, включая шаблоны кодирования вредоносного ПО, конкретный профиль целевой жертвы и совпадение TTP с предыдущими действиями, приписываемыми группе. Обнаружение указывает на постоянное использование упрощенного, но эффективного вредоносного ПО и стратегий атак, подчеркивая сохраняющуюся уязвимость сектора гражданского общества к этим типам угроз. Такие меры кибербезопасности, как обеспечение доступа с наименьшими привилегиями и использование технологий управления приложениями, могут эффективно снизить уязвимость, в то время как такие инструменты, как платформы изоляции браузеров, могут дополнительно снизить риски, связанные с взаимодействием пользователей на потенциально опасных веб-сайтах.
#ParsedReport #CompletenessHigh
24-09-2025
YiBackdoor: A New Malware Family With Links to IcedID and Latrodectus
https://www.zscaler.com/blogs/security-research/yibackdoor-new-malware-family-links-icedid-and-latrodectus
Report completeness: High
Threats:
Yibackdoor
Icedid
Latrodectus
Z_loader
Qakbot
Sandbox_evasion_technique
Antidebugging_technique
Nltest_tool
Icedid_loader
Victims:
Ransomware initial access victims
Industry:
Financial
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1027, T1055, T1059, T1070.004, T1082, T1105, T1113, T1497.001, T1547.001, T1620, have more...
IOCs:
File: 6
Hash: 1
Url: 1
Soft:
Hyper-V
Algorithms:
gzip, rc4, base64, sha256, xor
Functions:
YiBackdoor, __rdtsc
Win API:
SwitchToThread, RtlExitUserProcess
Languages:
python, powershell
Links:
have more...
24-09-2025
YiBackdoor: A New Malware Family With Links to IcedID and Latrodectus
https://www.zscaler.com/blogs/security-research/yibackdoor-new-malware-family-links-icedid-and-latrodectus
Report completeness: High
Threats:
Yibackdoor
Icedid
Latrodectus
Z_loader
Qakbot
Sandbox_evasion_technique
Antidebugging_technique
Nltest_tool
Icedid_loader
Victims:
Ransomware initial access victims
Industry:
Financial
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1055, T1059, T1070.004, T1082, T1105, T1113, T1497.001, T1547.001, T1620, have more...
IOCs:
File: 6
Hash: 1
Url: 1
Soft:
Hyper-V
Algorithms:
gzip, rc4, base64, sha256, xor
Functions:
YiBackdoor, __rdtsc
Win API:
SwitchToThread, RtlExitUserProcess
Languages:
python, powershell
Links:
https://github.com/ThreatLabz/tools/blob/main/yibackdoor/yibackdoor\_rand.pyhttps://github.com/ThreatLabz/tools/blob/main/yibackdoor/yibackdoor\_rand.py#L175have more...
https://github.com/ThreatLabz/tools/blob/main/yibackdoor/yibackdoor\_rand.py#L58Zscaler
YiBackdoor: Linked to IcedID and Latrodectus | ThreatLabz
YiBackdoor is a new modular malware family closely linked to IcedID and Latrodectus with significant code overlaps.
CTT Report Hub
#ParsedReport #CompletenessHigh 24-09-2025 YiBackdoor: A New Malware Family With Links to IcedID and Latrodectus https://www.zscaler.com/blogs/security-research/yibackdoor-new-malware-family-links-icedid-and-latrodectus Report completeness: High Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
YiBackdoor - это недавно идентифицированное семейство вредоносных ПО, связанное с IcedID и Latrodectus, демонстрирующее сходство кода и предполагающее скоординированные кибероперации. Он предлагает такие возможности, как сбор системной информации, выполнение команд и развертывание плагинов, в то же время используя методы антианализа, чтобы избежать обнаружения. Его инициализация включает в себя внедрение кода, закрепление с помощью реестра Windows и зашифрованную связь с сервером C2, что указывает на текущую разработку и потенциал для расширения рисков в будущем.
-----
YiBackdoor - это недавно идентифицированное семейство вредоносных ПО, связанное с IcedID и Latrodectus, впервые обнаруженное в июне 2025 года. Это вредоносное ПО обладает сходством кода с IcedID, который изначально был создан для банковского мошенничества и банковских переводов, а впоследствии был адаптирован для обеспечения первоначального доступа для атак программ-вымогателей. Хотя точная взаимосвязь между YiBackdoor и этими семействами вредоносных ПО остается неясной, это предполагает скоординированное использование в кибероперациях. YiBackdoor предоставляет злоумышленникам различные возможности, включая сбор системной информации, выполнение команд, захват скриншотов и развертывание плагинов, которые расширяют его функциональность.
На этапе инициализации YiBackdoor выполняет критически важные действия, включая внедрение кода в удаленный процесс и закрепление на скомпрометированных системах с помощью раздела реестра Windows Run. Вредоносное ПО использует методы антианализа, в первую очередь направленные на то, чтобы избежать обнаружения в виртуализированных средах, обычно используемых в изолированной среде. Это включает в себя проверку адреса его памяти на соответствие загруженным библиотекам DLL перед внедрением кода в новый процесс. После этого он устанавливает закрепление, копируя себя в каталог со случайным именем и изменяя значения реестра, чтобы скрыть свое присутствие.
Конфигурация вредоносного ПО шифруется и расшифровывается во время выполнения с помощью уникального алгоритма, использующего 64-байтовый ключ. Он взаимодействует со своим сервером управления (C2), используя URL-адреса, производные от динамически заданных параметров в его конфигурации. YiBackdoor может выполнять множество команд, передавая результат обратно в C2 в формате JSON через HTTP POST-запросы. Кроме того, он сохраняет все полученные плагины во временной папке Windows со случайными именами файлов, что увеличивает его способность развиваться за счет дополнительных функциональных возможностей.
Обращает на себя внимание обширное дублирование кода между YiBackdoor и его аналогами IcedID и Latrodectus, особенно в критических и некритичных сегментах кода. Эти наблюдения свидетельствуют о сближении усилий по разработке этих семейств вредоносных ПО. В настоящее время YiBackdoor, по-видимому, находится на ограниченной стадии развертывания, что указывает на продолжающуюся разработку или тестирование злоумышленниками. Его эволюция может представлять повышенные риски по мере расширения его развертывания и возможностей.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
YiBackdoor - это недавно идентифицированное семейство вредоносных ПО, связанное с IcedID и Latrodectus, демонстрирующее сходство кода и предполагающее скоординированные кибероперации. Он предлагает такие возможности, как сбор системной информации, выполнение команд и развертывание плагинов, в то же время используя методы антианализа, чтобы избежать обнаружения. Его инициализация включает в себя внедрение кода, закрепление с помощью реестра Windows и зашифрованную связь с сервером C2, что указывает на текущую разработку и потенциал для расширения рисков в будущем.
-----
YiBackdoor - это недавно идентифицированное семейство вредоносных ПО, связанное с IcedID и Latrodectus, впервые обнаруженное в июне 2025 года. Это вредоносное ПО обладает сходством кода с IcedID, который изначально был создан для банковского мошенничества и банковских переводов, а впоследствии был адаптирован для обеспечения первоначального доступа для атак программ-вымогателей. Хотя точная взаимосвязь между YiBackdoor и этими семействами вредоносных ПО остается неясной, это предполагает скоординированное использование в кибероперациях. YiBackdoor предоставляет злоумышленникам различные возможности, включая сбор системной информации, выполнение команд, захват скриншотов и развертывание плагинов, которые расширяют его функциональность.
На этапе инициализации YiBackdoor выполняет критически важные действия, включая внедрение кода в удаленный процесс и закрепление на скомпрометированных системах с помощью раздела реестра Windows Run. Вредоносное ПО использует методы антианализа, в первую очередь направленные на то, чтобы избежать обнаружения в виртуализированных средах, обычно используемых в изолированной среде. Это включает в себя проверку адреса его памяти на соответствие загруженным библиотекам DLL перед внедрением кода в новый процесс. После этого он устанавливает закрепление, копируя себя в каталог со случайным именем и изменяя значения реестра, чтобы скрыть свое присутствие.
Конфигурация вредоносного ПО шифруется и расшифровывается во время выполнения с помощью уникального алгоритма, использующего 64-байтовый ключ. Он взаимодействует со своим сервером управления (C2), используя URL-адреса, производные от динамически заданных параметров в его конфигурации. YiBackdoor может выполнять множество команд, передавая результат обратно в C2 в формате JSON через HTTP POST-запросы. Кроме того, он сохраняет все полученные плагины во временной папке Windows со случайными именами файлов, что увеличивает его способность развиваться за счет дополнительных функциональных возможностей.
Обращает на себя внимание обширное дублирование кода между YiBackdoor и его аналогами IcedID и Latrodectus, особенно в критических и некритичных сегментах кода. Эти наблюдения свидетельствуют о сближении усилий по разработке этих семейств вредоносных ПО. В настоящее время YiBackdoor, по-видимому, находится на ограниченной стадии развертывания, что указывает на продолжающуюся разработку или тестирование злоумышленниками. Его эволюция может представлять повышенные риски по мере расширения его развертывания и возможностей.
#ParsedReport #CompletenessLow
24-09-2025
Investigation Report on Jaguar Land Rover Cyberattack
https://www.cyfirma.com/research/investigation-report-on-jaguar-land-rover-cyberattack/
Report completeness: Low
Actors/Campaigns:
Shinyhunters (motivation: cyber_criminal)
0ktapus
Lapsus
Threats:
Hellcat
Spear-phishing_technique
Sliver_c2_tool
Victims:
Jaguar land rover, Automotive sector, Manufacturing operations, Retail operations
Industry:
Transport, Telco, Retail, Critical_infrastructure
TTPs:
Tactics: 11
Technics: 15
Soft:
Telegram
Languages:
powershell
24-09-2025
Investigation Report on Jaguar Land Rover Cyberattack
https://www.cyfirma.com/research/investigation-report-on-jaguar-land-rover-cyberattack/
Report completeness: Low
Actors/Campaigns:
Shinyhunters (motivation: cyber_criminal)
0ktapus
Lapsus
Threats:
Hellcat
Spear-phishing_technique
Sliver_c2_tool
Victims:
Jaguar land rover, Automotive sector, Manufacturing operations, Retail operations
Industry:
Transport, Telco, Retail, Critical_infrastructure
TTPs:
Tactics: 11
Technics: 15
Soft:
Telegram
Languages:
powershell
CYFIRMA
Investigation Report on Jaguar Land Rover Cyberattack - CYFIRMA
Executive Summary CYFIRMA analyzed the September 2, 2025, Jaguar Land Rover (JLR) cyber incident, which caused widespread disruption by shutting...
CTT Report Hub
#ParsedReport #CompletenessLow 24-09-2025 Investigation Report on Jaguar Land Rover Cyberattack https://www.cyfirma.com/research/investigation-report-on-jaguar-land-rover-cyberattack/ Report completeness: Low Actors/Campaigns: Shinyhunters (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кибератака на Jaguar Land Rover (JLR), произошедшая 2 сентября 2025 года, вызвала значительные сбои в работе глобальных ИТ-систем, что привело к остановке операций в критический период продаж. Связано с разбросанным Lapsus$ Hunters group, которая имеет связи с другими хакерскими коллективами, в результате взлома выявила уязвимости с задокументированной тактикой эксплуатации, согласованной с платформой MITRE ATT&CK. Хотя специфика атаки все еще расследуется, потенциальная возможность кражи учетных данных и раскрытия интеллектуальной собственности вызывает у JLR постоянные опасения по поводу безопасности.
-----
Кибератака 2 сентября 2025 года на Jaguar Land Rover (JLR) привела к масштабным сбоям в работе, затронувшим глобальные ИТ-системы и остановившим производство и розничную торговлю. Этот инцидент произошел в "День новых номерных знаков" в Великобритании, увеличив финансовые потери, поскольку дилеры не смогли зарегистрировать или доставить транспортные средства. Хотя JLR не раскрыла конкретные масштабы нарушения, оно является частью более широкой схемы продвинутых киберугроз, нацеленных на автомобильную промышленность. Более ранние инциденты в этом году включали атаки группы программ-вымогателей HELLCAT, которая ранее получала доступ к конфиденциальным данным сотрудников и внутренним документам с помощью украденных учетных данных.
Атака была связана с хакерским коллективом, известным как Scattered Lapsus$ Hunters, которые поделились скриншотами внутренних систем JLR, подчеркнув их технические возможности. Эта группа, состоящая из представителей нескольких известных хакерских коллективов, включая ShinyHunters и Lapsus$, имеет историю нападений на розничных продавцов в Великобритании. JLR еще предстоит подтвердить или детализировать характер атаки, но общие сведения предполагают, что в ее ИТ-технологиях и операционных системах существуют значительные уязвимости.
Аналитики по киберугрозам сопоставили потенциальные тактики, методы и процедуры (TTP), использованные в этом инциденте, с платформой MITRE ATT&CK, что указывает на то, что злоумышленники использовали передовые методы для использования уязвимостей в системах JLR. Мотивы атаки, по-видимому, включают не только финансовые стимулы, но и стремление к признанию и стратегическому влиянию в сообществе киберпреступников. Демонстрируя технические возможности с помощью утечки данных, группа стремится запугать JLR и потенциально использовать информацию для использования в будущем.
Воздействие нарушения оценивается как многомерное, приводящее к сбоям в работе и вызывающее опасения по поводу кражи учетных данных и уязвимости интеллектуальной собственности. Хотя ничто не подтверждает прямой компрометации клиентских данных, утечка внутренней информации создает постоянные риски. Дальнейшие судебно-медицинские исследования необходимы для полного понимания тактики, используемой злоумышленниками, и для достижения окончательной идентификации, хотя первоначальные оценки указывают на то, что за инцидентом может стоять коллектив ShinyHunters. По мере продвижения расследования специфика атаки и ее последствия для системы безопасности JLR остаются в центре внимания аналитиков по кибербезопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кибератака на Jaguar Land Rover (JLR), произошедшая 2 сентября 2025 года, вызвала значительные сбои в работе глобальных ИТ-систем, что привело к остановке операций в критический период продаж. Связано с разбросанным Lapsus$ Hunters group, которая имеет связи с другими хакерскими коллективами, в результате взлома выявила уязвимости с задокументированной тактикой эксплуатации, согласованной с платформой MITRE ATT&CK. Хотя специфика атаки все еще расследуется, потенциальная возможность кражи учетных данных и раскрытия интеллектуальной собственности вызывает у JLR постоянные опасения по поводу безопасности.
-----
Кибератака 2 сентября 2025 года на Jaguar Land Rover (JLR) привела к масштабным сбоям в работе, затронувшим глобальные ИТ-системы и остановившим производство и розничную торговлю. Этот инцидент произошел в "День новых номерных знаков" в Великобритании, увеличив финансовые потери, поскольку дилеры не смогли зарегистрировать или доставить транспортные средства. Хотя JLR не раскрыла конкретные масштабы нарушения, оно является частью более широкой схемы продвинутых киберугроз, нацеленных на автомобильную промышленность. Более ранние инциденты в этом году включали атаки группы программ-вымогателей HELLCAT, которая ранее получала доступ к конфиденциальным данным сотрудников и внутренним документам с помощью украденных учетных данных.
Атака была связана с хакерским коллективом, известным как Scattered Lapsus$ Hunters, которые поделились скриншотами внутренних систем JLR, подчеркнув их технические возможности. Эта группа, состоящая из представителей нескольких известных хакерских коллективов, включая ShinyHunters и Lapsus$, имеет историю нападений на розничных продавцов в Великобритании. JLR еще предстоит подтвердить или детализировать характер атаки, но общие сведения предполагают, что в ее ИТ-технологиях и операционных системах существуют значительные уязвимости.
Аналитики по киберугрозам сопоставили потенциальные тактики, методы и процедуры (TTP), использованные в этом инциденте, с платформой MITRE ATT&CK, что указывает на то, что злоумышленники использовали передовые методы для использования уязвимостей в системах JLR. Мотивы атаки, по-видимому, включают не только финансовые стимулы, но и стремление к признанию и стратегическому влиянию в сообществе киберпреступников. Демонстрируя технические возможности с помощью утечки данных, группа стремится запугать JLR и потенциально использовать информацию для использования в будущем.
Воздействие нарушения оценивается как многомерное, приводящее к сбоям в работе и вызывающее опасения по поводу кражи учетных данных и уязвимости интеллектуальной собственности. Хотя ничто не подтверждает прямой компрометации клиентских данных, утечка внутренней информации создает постоянные риски. Дальнейшие судебно-медицинские исследования необходимы для полного понимания тактики, используемой злоумышленниками, и для достижения окончательной идентификации, хотя первоначальные оценки указывают на то, что за инцидентом может стоять коллектив ShinyHunters. По мере продвижения расследования специфика атаки и ее последствия для системы безопасности JLR остаются в центре внимания аналитиков по кибербезопасности.
#ParsedReport #CompletenessMedium
24-09-2025
From LNK to RAT: Deep Dive into the LNK Malware Infection Chain
https://labs.k7computing.com/index.php/from-lnk-to-rat-deep-dive-into-the-lnk-malware-infection-chain/
Report completeness: Medium
Threats:
Lolbin_technique
Amsi_bypass_technique
Geo:
Israel
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
T1005, T1027, T1036, T1041, T1055, T1059.001, T1070.004, T1071.001, T1082, T1102, have more...
IOCs:
File: 14
Registry: 1
Hash: 4
Soft:
Discord, Windows Event Tracing, Nuget, Dropbox
Algorithms:
base64, aes, zip
Functions:
function, Get-MultiPic
Win API:
EtwEventWrite, DllRegisterServer, AmsiScanBuffer, LoadLibraryA, GetProcAddress, WriteProcessMemory, WideCharToMultiByte
Languages:
powershell
24-09-2025
From LNK to RAT: Deep Dive into the LNK Malware Infection Chain
https://labs.k7computing.com/index.php/from-lnk-to-rat-deep-dive-into-the-lnk-malware-infection-chain/
Report completeness: Medium
Threats:
Lolbin_technique
Amsi_bypass_technique
Geo:
Israel
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1005, T1027, T1036, T1041, T1055, T1059.001, T1070.004, T1071.001, T1082, T1102, have more...
IOCs:
File: 14
Registry: 1
Hash: 4
Soft:
Discord, Windows Event Tracing, Nuget, Dropbox
Algorithms:
base64, aes, zip
Functions:
function, Get-MultiPic
Win API:
EtwEventWrite, DllRegisterServer, AmsiScanBuffer, LoadLibraryA, GetProcAddress, WriteProcessMemory, WideCharToMultiByte
Languages:
powershell
K7 Labs
From LNK to RAT: Deep Dive into the LNK Malware Infection Chain
Attackers keep availing the use of Windows shortcut (.LNK) files to deliver malware. These LNK files normally used as shortcuts […]