#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники используют искусственный интеллект и продвинутое кодирование для создания фишинг-сайтов, которые полностью имитируют законные правительственные страницы, усложняя идентификацию вредоносного контента пользователями. Примечательной тактикой является Отравление поисковой оптимизации (SEO), при котором они оптимизируют эти фишингов сайты для получения результатов поиска, одновременно добавляя элементы официального брендинга, такие как логотип ФБР, для обмана пользователей. В отчете ФБР за 2024 год подчеркивается, что фишинг и спуфинг являются ведущими угрозами, подчеркивая, что традиционное обучение пользователей может оказаться недостаточным для борьбы с этими сложными схемами.
-----

Киберпреступники все чаще используют искусственный интеллект и сложные методы кодирования для создания сайтов фишинга, которые очень напоминают законные правительственные веб-страницы, что значительно затрудняет пользователям проведение различия между подлинным и вредоносным контентом. ФБР выделило фишинг и спуфинг в качестве наиболее часто регистрируемых видов преступлений в своем ежегодном отчете Центра рассмотрения жалоб на интернет-преступления за 2024 год (IC3), в котором подчеркивается критический риск, связанный с такой тактикой Имперсонации.

Один из методов, используемых этими недобросовестными акторами, включает в себя Отравление поисковой оптимизации (SEO), когда они оптимизируют вредоносные сайты, чтобы они появлялись в верхней части результатов поиска по таким терминам, как "сообщить о киберпреступности". В рамках этой тактики они используют такие методы, как включение логотипа ФБР в качестве значка, чтобы еще больше ввести пользователей в заблуждение. Жертвы часто упускают из виду критические признаки обмана, непреднамеренно получая доступ к этим сайтам, выдающим себя за другие, которые предназначены для сбора конфиденциальной информации.

Фишинг и спуфинг стали серьезными проблемами для организаций, поскольку традиционная подготовка пользователей недостаточна для борьбы с этими передовыми методами Имперсонации. Поскольку сотрудники все чаще используют интернет-браузеры для выполнения различных задач, возрастает опасность стать жертвой этих изощренных атак фишинга. Меняющаяся тактика, применяемая киберпреступниками, требует более надежного подхода к обеспечению безопасности, который выходит за рамки базовой осведомленности, потенциально включая внедрение передовых решений искусственного интеллекта для целей мониторинга и обнаружения.

Таким образом, пересечение стратегий искусственного интеллекта и целенаправленной Имперсонации продолжает формировать ландшафт киберугроз, требуя повышенной бдительности и адаптивных мер безопасности как от отдельных лиц, так и от организаций.

#ParsedReport #CompletenessHigh
25-09-2025

DeceptiveDevelopment: From primitive crypto theft to sophisticated AI-based deception

https://www.welivesecurity.com/en/eset-research/deceptivedevelopment-from-primitive-crypto-theft-to-sophisticated-ai-based-deception/

Report completeness: High

Actors/Campaigns:
Famous_chollima (motivation: financially_motivated, cyber_espionage)
Wagemole
Contagious_interview
Dev_popper
Lazarus
Dream_job

Threats:
Beavertail
Invisibleferret
Flexibleferret
Tsunami_framework
Signbt
Tropidoor
Akdoortea
Clickfix_technique
Ottercookie
Anydesk_tool
Pylangghost
Tsunami_botnet
Xmrig_miner
Nbminer
Akdoor
Spear-phishing_technique
Process_injection_technique

Victims:
Software developers, Cryptocurrency sector, Web3 projects, Job seekers, Headhunters, Recruiters

Industry:
Financial

Geo:
Russia, Ukraine, Ukrainian, Albania, Poland, China, France, North korean, North korea, Asia

TTPs:
Tactics: 7
Technics: 16

IOCs:
File: 5
Path: 1
IP: 9
Hash: 28
Domain: 3

Soft:
Linux, macOS, Microsoft Defender, Node.js

Algorithms:
rc4, zip, xor, base64

Languages:
javascript, python, powershell

Links:
https://github.com/eset/malware-ioc/tree/master/deceptivedevelopment

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DeceptiveDevelopment, северокорейская хакерская группировка, занимается киберпреступлениями с финансовой мотивацией с 2023 года, в первую очередь нацеливаясь на разработчиков программного обеспечения в сфере криптовалют и Web3, используя методы социальной инженерии, такие как поддельные профили рекрутеров. Их арсенал вредоносного ПО включает BeaverTail для первоначальных заражений, а также WeaselStore и InvisibleFerret RAT, который превратился в сложный инструментарий под названием TsunamiKit, предназначенный для кражи криптовалют. Группа демонстрирует адаптивность в своей тактике, сотрудничая с WageMole и используя уязвимости лиц, ищущих работу, для улучшения своей деятельности.
-----

DeceptiveDevelopment, хакерская группировка, связанная с Северной Кореей, превратилась в изощренную организацию, занимающуюся киберпреступлениями на финансовой почве, по крайней мере, с 2023 года. Эта группа действует совместно с другой организацией, известной как WageMole, в которую входят северокорейские ИТ-специалисты. DeceptiveDevelopment в первую очередь ориентирована на разработчиков программного обеспечения в основных операционных системах — Windows, Linux и macOS — с особым акцентом на тех, кто занимается криптовалютами и проектами Web3. Методы работы группы включают использование методов социальной инженерии, включая создание поддельных профилей рекрутеров на таких платформах, как LinkedIn и Upwork, чтобы заманить жертв к загрузке троянских баз кода под видом проблем с кодированием.

Основными семействами вредоносных ПО группы являются BeaverTail, OtterCookie, WeaselStore и троян удаленного доступа InvisibleFerret (RAT). Начальная стадия заражения инициируется через BeaverTail, который доставляется с помощью, казалось бы, безобидных задач, требующих от жертв загрузки проектов из скомпрометированных репозиториев на таких платформах, как GitHub. Вредоносное ПО по мере его развития также включает новые компоненты, такие как WeaselStore, разработанные различными командами внутри группы в соответствии с их операционными потребностями. К концу 2024 года вредоносное ПО InvisibleFerret претерпело значительные обновления, что привело к внедрению нового сложного инструментария вредоносного ПО, получившего название TsunamiKit, разработанного специально для сбора криптовалюты и информации.

Группа компаний DeceptiveDevelopment продемонстрировала способность модифицировать и адаптировать свои инструменты, о чем свидетельствует появление WeaselStore и TsunamiKit. Конкретные кампании, подобные тем, которые исследовали исследователи ESET, иллюстрируют растущую сложность их ландшафта угроз. В ситуациях, когда вредоносное ПО включало ранее неизвестный браузер - модуль похитителя данных включал значительный закодированный сегмент, это подчеркивало сложность их операций.

Дальнейшее расследование связей группы с северокорейскими ИТ-работниками выявило сеть сотрудничества с общими Учетными записями эл.почты и профилями на GitHub, отмеченными между группами. Эти связи предполагают, что, хотя DeceptiveDevelopment и WageMole действуют как отдельные организации, существует существенное сотрудничество и обмен информацией. Такая синергия повышает их общую эффективность при проведении операций по борьбе с киберпреступностью.

Тактика, методы и процедуры (TTP) DeceptiveDevelopment отражают стратегическую опору на социальную инженерию и использование легкодоступных инструментов, а не чисто техническое мастерство. Их кампании используют уязвимость людей, ищущих работу с непреодолимыми финансовыми стимулами, подчеркивая растущую тенденцию использования уязвимости людей к кибератакам. В целом, DeceptiveDevelopment иллюстрирует прагматичный подход в сфере киберпреступности, сочетающий социальную инженерию с адаптивным внедрением вредоносного ПО для достижения значительных финансовых целей.

#ParsedReport #CompletenessMedium
26-09-2025

From SEO Poisoning to Malware Deployment: Malvertising campaign uncovered

https://conscia.com/blog/from-seo-poisoning-to-malware-deployment-malvertising-campaign-uncovered/

Report completeness: Medium

Threats:
Seo_poisoning_technique
Lolbin_technique
Oyster

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071.001, T1102, T1105, T1189, T1218, T1553.002, T1573, T1588.003, T1608.006

IOCs:
Domain: 4
File: 3
IP: 2
Hash: 1

Soft:
Microsoft Teams, Microsoft Defender

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания по Вредоносной рекламе, начатая 25 сентября 2025 года, использовала законные результаты поиска для перенаправления пользователей на вредоносные сайты в течение 11 секунд, используя автоматизированный процесс. Вредоносное ПО использовало действительный сертификат для Подписи исполняемого кода, что усложняло усилия по обнаружению, и было идентифицировано как вариант Backdoor. Oyster Этот инцидент иллюстрирует растущую изощренность киберугроз, включая использование злоумышленниками законных инструментов для обхода традиционных средств защиты.
-----

Недавняя кампания по Вредоносной рекламе подчеркивает растущую сложность и скорость современных киберугроз, когда злоумышленники используют сложные методы, которые обходят традиционные методы обнаружения. Инцидент начался 25 сентября 2025 года, когда правила Microsoft Defender по уменьшению поверхности атаки (ASR) вызвали предупреждение из-за подозрительных исходящих подключений из недавно запущенного файла. Это действие положило начало расследованию, которое выявило тщательно спланированную атаку, использующую SEO-манипуляции и действительные Сертификаты подписи кода для доставки вредоносного ПО.

Центральным элементом этой кампании был механизм автоматического перенаправления, который перенаправлял пользователей с законных результатов поиска на вредоносные сайты в течение тревожных 11 секунд, что указывает на целенаправленное использование стратегий Вредоносной рекламы. Такой быстрый переход предполагает использование автоматизированного процесса, предназначенного для компрометации пользователей без ручного ввода данных.

По мере углубления расследования было обнаружено, что вредоносное ПО использовало действительный сертификат для Подписи исполняемого кода - тактика, которая становится все более распространенной, поскольку злоумышленники стремятся избежать обнаружения системами безопасности. Такое злоупотребление сертификатами представляет собой серьезную проблему для традиционных антивирусных решений, которые в основном полагаются на методы обнаружения на основе сигнатур, которые можно обойти.

Потенциальные последствия этой атаки вредоносного ПО были серьезными, с признаками того, что это был вариант бэкдора Oyster, также известного под такими названиями, как Broomstick или CleanUpLoader. Существование этого бэкдора подчеркивает возможности задействованного семейства вредоносных ПО, выявляя потенциальный значительный ущерб, если бы атака не была перехвачена правилами ASR.

Ключевые выводы из этого инцидента отражают более широкие тенденции в области киберугроз. Злоумышленники постоянно адаптируются, используя законные системные утилиты новыми способами, чтобы избежать обнаружения. Мероприятие подчеркивает важность хорошо настроенной политики ASR, которая доказала свою эффективность в предотвращении этой изощренной атаки. Более того, это повышает осведомленность критиков о неправильном использовании сертификатов с коротким сроком действия, которые используются в качестве оружия для обхода стандартных мер безопасности.

#ParsedReport #CompletenessHigh
29-09-2025

From a Single Click: How Lunar Spider Enabled a Near Two-Month Intrusion

https://thedfirreport.com/2025/09/29/from-a-single-click-how-lunar-spider-enabled-a-near-two-month-intrusion/

Report completeness: High

Actors/Campaigns:
Lunar_spider (motivation: financially_motivated)
Vice_society

Threats:
Brc4_tool
Cobalt_strike_tool
Latrodectus
Rclone_tool
Nltest_tool
Adfind_tool
Zerologon_vuln
Metasploit_tool
Rustscan_tool
Process_injection_technique
Icedid
Keyhole_tool
Dll_injection_technique
Uac_bypass_technique
Blackcat
Powerview_tool
Nmap_tool
Credential_harvesting_technique
Psexec_tool
Paexec_tool
Winrm_tool

Industry:
Critical_infrastructure

Geo:
Russian, German

CVEs:
CVE-2020-1472 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 11
Technics: 0

IOCs:
File: 38
Url: 16
IP: 42
Command: 9
Domain: 17
Registry: 2
Path: 11
Hash: 30

Soft:
Active Directory, PsExec, Speakeasy, Windows authentication, Windows security, Chrome, Google Chrome, Microsoft Edge, Yandex Browser, Vivaldi, Comodo Dragon, have more...

Algorithms:
xor, crc-32, zip, rc4, exhibit

Functions:
CreateNoWindow, Settings

Win API:
LoadLibraryA, CreateRemoteThread, NetBIOS, NtMapViewOfSection

Win Services:
Webclient

Languages:
javascript, powershell

YARA: Found
SIGMA: Found

Links:
https://github.com/sadshade/veeam-creds
https://github.com/The-DFIR-Report/Yara-Rules/blob/main/28761/28761.yar
have more...

#ParsedReport #ExtractedSchema

Classified images:
code: 20, windows: 6, schema: 4, table: 4, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В мае 2024 года злоумышленник Lunar Spider инициировал вторжение, развернув вредоносный файл JavaScript, что привело к установке загрузчика Brute Ratel, который внедрил вредоносное ПО Latrodectus в explorer.exe и установил связь С2. Злоумышленники использовали методы разведки и повышения привилегий, используя эксплойт Zerologon и методы перемещения внутри компании, такие как PsExec, для навигации по сети. Они провели обширную эксфильтрацию данных с помощью таких инструментов, как Rclone, поддерживали постоянный доступ с помощью различных типов вредоносных ПО и использовали тактику запутывания на протяжении всей атаки, хотя программы-вымогатели не использовались.
-----

В мае 2024 года началось вторжение, приписываемое злоумышленнику Lunar Spider, когда пользователь запустил вредоносный файл JavaScript, замаскированный под налоговую форму. Этот файл, связанный с группой Lunar Spider, содержал запутанный код, который запускал загрузку установщика MSI, который впоследствии развернул DLL-файл Brute Ratel с помощью утилиты Windows rundll32. После выполнения загрузчик Brute Ratel внедрил вредоносное ПО Latrodectus в explorer.exe процесс, устанавливающий связь командования и контроля (C2) с несколькими доменами.

Атака началась с обширной разведки примерно через час после первоначального доступа с использованием встроенных команд Windows для перечисления хостов и доменов. Последующие действия включали установление сеанса обратного подключения для удаленного доступа через VNC и доступ к unattend.xml файл для извлечения учетных данных администратора домена в виде открытого текста. Это способствовало значительному повышению привилегий, позволяя злоумышленнику использовать Cobalt Strike beacons для дальнейшего перемещения внутри компании по сети.

В течение почти двух месяцев злоумышленники периодически осуществляли командно-контрольную деятельность, осуществляя эксфильтрацию данных через Rclone и FTP. После входа в среду они внедрили несколько типов вредоносного ПО, включая Cobalt Strike и пользовательское .СЕТЕВОЙ бэкдор с именем lsassa.exe , который поддерживал связь с сервером C2 и собирал системные данные через регулярные промежутки времени. Методы перемещения внутри компании включали использование PsExec для развертывания маяков на дополнительных хостах, включая резервные копии и контроллеры домена.

Злоумышленник использовал различные уязвимости Windows, такие как эксплойт Zerologon (CVE-2020-1472) для перемещения внутри компании между системами, и использовал такие навыки, как Внедрение кода в процесс и методы UAC bypass. На протяжении всего вторжения они выполняли многочисленные команды обнаружения и запутывали свои команды, чтобы избежать обнаружения, а также использовали удаление файлов, чтобы помешать судебно-медицинскому анализу.

Сбор учетных записей осуществлялся систематически, ориентируясь на LSASS, программное обеспечение для резервного копирования и браузеры, а также на попытки извлечь учетные данные из решений Veeam для резервного копирования. Заключительные этапы атаки включали развертывание инструментария Rclone, который автоматизировал кражу конфиденциальных данных в облачное хранилище, контролируемое актором. Примечательно, что, несмотря на всесторонний доступ к критически важной инфраструктуре, во время этого масштабного вторжения не было никаких признаков развертывания программ-вымогателей.

В отчете подчеркивались важные признаки вредоносного поведения, такие как использование вредоносных полезных нагрузок, Внедрение кода в процесс, механизмы закрепления (включая ключи запуска реестра и запланированные задачи), а также запутанные шаблоны взаимодействия C2 из нескольких доменов. Методики кампании иллюстрируют изощренный подход к получению доступа, закреплению в среде жертв и систематическому сбору конфиденциальной информации в течение длительного периода.

#ParsedReport #CompletenessMedium
30-09-2025

Detour Dog: DNS Malware Powers Strela Stealer Campaigns

https://blogs.infoblox.com/threat-intelligence/detour-dog-dns-malware-powers-strela-stealer-campaigns/

Report completeness: Medium

Actors/Campaigns:
Hive0145

Threats:
Detour_dog
Strela_stealer
Starfish
Tofsee
Lospollos_tds_tool
Help_tds_tool
Webmonitor_rat
Fakecaptcha_technique
Vextrio_tds_tool

Industry:
Government

Geo:
Taiwan, Russian, Ukrainian, German, Kazakhstan, Moscow, Germany

IOCs:
Domain: 18
IP: 2
Url: 3
File: 4

Soft:
curl

Algorithms:
base64, zip

Languages:
javascript, php

Platforms:
apple, intel

Links:
https://github.com/infobloxopen/threat-intelligence/blob/main/indicators/csv/detour\_dog\_20250930\_iocs.csv

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, windows: 1, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО Detour Dog использует DNS для перенаправления на многочисленных скомпрометированных веб-сайтах, эволюционируя и включая удаленное выполнение через систему управления на основе DNS (C2). В нем используются такие компоненты, как бэкдор StarFish, который позволяет загружать Strela Stealer, нацеленный на системы в основном в Европе с помощью фишингов электронных писем с вредоносными вложениями. Закрепление вредоносного ПО происходит из-за использования пуленепробиваемого хостинга и запутанных действий, что усложняет усилия по смягчению его последствий.
-----

Вредоносное ПО, известное как "Detour Dog", использует систему доменных имен (DNS) для выполнения тактики перенаправления на десятках тысяч скомпрометированных веб-сайтов по всему миру. С августа 2023 года был идентифицирован злоумышленник, стоящий за этим вредоносным ПО, который продолжает расширять свои функциональные возможности, выходя за рамки простого перенаправления, и в настоящее время развивается для включения команд удаленного выполнения через систему управления на основе DNS (C2). Операционная методология включает в себя выполнение DNS-запросов на стороне сервера, которые остаются необнаружимыми для посетителей, и условное перенаправление пользователей в зависимости от их географического местоположения и типа устройства.

Двумя основными компонентами вредоносного ПО, связанными с этой кампанией, являются "Бэкдор StarFish" и "Strela Stealer". Strela Stealer, впервые задокументированный в конце 2022 года, нацелен преимущественно на европейские страны с акцентом на Германию. Первоначальный метод распространения вредоносного ПО включает фишинг электронных писем с вредоносными вложениями, включая SVG-файлы, способные запускать обратный бэкдор оболочки, получивший название StarFish. Этот бэкдор не только облегчает точку входа, но и служит каналом для загрузки дополнительных полезных данных, таких как Strela Stealer.

После активации StarFish устанавливает регулярную связь с жестко запрограммированным сервером C2, используя определенную конечную точку. Он передает соответствующие данные, касающиеся зараженной системы, и сервер отвечает командами, включая возможные параметры выполнения. Один из ключевых механизмов включает включение строки "%SCRIPT%" в ответы сервера, запускающей последующие действия по локальным путям на зараженной машине.

Закрепление вредоносного ПО Detour Dog можно объяснить использованием пуленепробиваемых сервисов хостинга и преднамеренным запутыванием активности, что позволяет надолго заражать различные сайты. Переход операции от предоставления мошеннических услуг к внедрению возможностей по краже информации усилил усилия по мониторингу, направленные на отслеживание происхождения и продолжающейся деятельности вовлеченного злоумышленника.

С оборонительной стороны, были предприняты попытки сообщить о домене webdmonitor.io , связанный с Detour Dog, своему регистратору WebNIC, начиная с июня 2025 года. Хотя были получены ответы, свидетельствующие о некотором уровне осведомленности и действиях, домен в конечном счете оставался активным, несмотря на четкое представление о его вредоносных операциях. Это указывает на сохраняющиеся проблемы в борьбе с угрозами вредоносного ПО на основе DNS и сложности, связанные с устранением скомпрометированной инфраструктуры.

#ParsedReport #CompletenessLow
30-09-2025

Phishing for clues, part 2: Exploring a yearlong AiTM Phishing Campaign

https://www.orangecyberdefense.com/global/blog/cybersecurity/phishing-for-clues-part-2-exploring-a-year-long-aitm-phishing-campaign

Report completeness: Low

Threats:
Aitm_technique
Evilginx_tool

Victims:
Users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.007, T1204.001, T1204.002, T1557.003, T1566.002, T1583.001, T1608.001

IOCs:
Url: 22
File: 2
IP: 4
Domain: 17

Soft:
Telegram

Algorithms:
base64

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания по фишингу, расследуемая CyberSOC, включает в себя сложные методы, нацеленные на учетные записи пользователей во многих странах. Все начинается с того, что пользователи открывают HTML-вложения, которые выполняют файл JavaScript, перенаправляя их на поддельную страницу входа в OneDrive для получения учетных данных по электронной почте и Telegram. Несмотря на то, что многие связанные HTML-файлы не помечаются средствами обнаружения как вредоносные, злоумышленники проявляют закрепление, меняя свой JavaScript и используя различные сервисы хостинга.
-----

Недавнее расследование CyberSOC было посвящено годичной кампании фишинга, характеризующейся изощренными методами, направленными на компрометацию учетных записей пользователей. Считается, что эта кампания была нацелена на тысячи пользователей во многих странах. Начальная фаза атаки включает в себя открытие пользователями HTML-вложения, которое запускает выполнение файла JavaScript, содержащего домен с кодировкой base64. Этот код перенаправляет жертв на поддельную страницу OneDrive, предназначенную для сбора учетных данных.

В операции фишинга используется механизм перенаправления, связанный с платформой Evilginx, что очевидно из изменений в репозитории, связанных с кампанией атаки. Страница перенаправления структурирована таким образом, чтобы легко перенаправлять пользователей на поддельную форму входа в систему, чему способствует файл JavaScript с именем "home.js . " Когда пользователи пытаются войти в систему, их украденные учетные данные передаются злоумышленникам по электронной почте и Telegram, указывая четкий метод эксфильтрации данных.

Анализ кампании показал, что значительное количество HTML-файлов, связанных с активностью фишинга, не были обнаружены как вредоносные платформами безопасности, такими как VirusTotal, что указывает на значительный пробел в существующих возможностях обнаружения. Для борьбы с такими сложными угрозами фишинга решающее значение имеет внедрение решений по борьбе с фишингом, которые тщательно проверяют электронные письма на наличие подозрительного контента. Кроме того, организациям рекомендуется внедрять устойчивую к фишингу Многофакторную аутентификацию (MFA) для противодействия продвинутым платформам, таким как Evilginx, которые могут проникать сквозь традиционную защиту MFA.

Для дальнейшего снижения рисков следует разработать Политики условного доступа для ограничения доступа в случае успешной попытки фишинга. Постоянный мониторинг необходим для оперативного выявления любых нарушений и реагирования на них. Продолжающаяся адаптация злоумышленников очевидна, поскольку они часто меняют свои файлы JavaScript и используют различные сервисы хостинга, что подчеркивает постоянный характер этой кампании фишинга и необходимость принятия надежных мер безопасности для противодействия таким угрозам. Это расследование служит напоминанием о меняющемся ландшафте тактики фишинга и важности упреждающей защиты.

#ParsedReport #CompletenessMedium
30-09-2025

Breakingdown of Patchwork APT

https://labs.k7computing.com/index.php/breakingdown-of-patchwork-apt/

Report completeness: Medium

Actors/Campaigns:
Donot

Victims:
Government, Military

Industry:
Military

Geo:
Asia

ChatGPT TTPs:
do not use without manual check
T1027, T1566, T1588

IOCs:
Path: 1
File: 10
Hash: 3
Url: 2

Soft:
Windows Scheduled Task, Twitter

Algorithms:
xor, base64

Functions:
xop, Protean, bkj, ghjk, dsffds, Charm

Win Services:
WebClient

Languages:
powershell