#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В августе 2025 года была выявлена мошенническая кампания, нацеленная на пожилых людей в Австралии, которая использовала группы Facebook, рекламирующие "активные поездки для пожилых", в качестве прикрытия для мошенничества. Центральное место в этой операции занимает Android-троян "Datzbro", классифицируемый как троян для захвата устройств, который обеспечивает несанкционированный доступ к устройствам жертв и способствует финансовому мошенничеству. Этот случай подчеркивает тенденцию хакерских группировок, использующих обманчивые социальные кампании для распространения вредоносного ПО и эффективного воздействия на уязвимые группы населения.
-----

В августе 2025 года в Австралии было выпущено множество предупреждений относительно мошеннических кампаний, нацеленных на пожилых людей через группы Facebook, рекламирующие "активные поездки для пожилых". Исследователи из ThreatFabric определили эти группы как прикрытия, управляемые мошенниками, стремящимися использовать различные регионы. Центральное место в этой кампании занимает недавно обнаруженный Android-троянец, известный как "Datzbro", классифицируемый как Trojan.

Datzbro обладает целым рядом возможностей, сходных с теми, которые присутствуют в традиционных шпионских программах, что позволяет ему облегчать несанкционированный доступ к устройствам жертв. Этот троянец был специально использован для совершения финансового мошенничества, используя свои функции удаленного доступа для подрыва финансовой безопасности физических лиц. Анализ Datzbro подчеркивает растущую тенденцию к тому, что хакерские группировки используют, казалось бы, безобидные социальные кампании для распространения вредоносного ПО, тем самым увеличивая свой охват и эффективность в отношении уязвимых групп населения, таких как пожилые люди.

#ParsedReport #CompletenessLow
01-10-2025

ForcedLeak and the Future of AI Agent Security

https://www.varonis.com/blog/forcedleak

Report completeness: Low

Threats:
Forcedleak_vuln

Victims:
Salesforce agentforce users, Crm users, Saas platform users, Autonomous ai agent users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1020, T1030, T1056.003, T1071, T1190, T1204, T1553, T1565.003

Soft:
Salesforce, Twitter

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Уязвимость ForcedLeak затрагивает платформу Salesforce Agentforce, позволяя злоумышленникам извлекать конфиденциальные данные CRM с помощью косвенного быстрого внедрения, внедряя вредоносный код в поле "Описание" веб-форм для привлечения клиентов. Эта атака использует обширные ограничения по символам для кодирования полезных данных, которые кажутся законными, что приводит к скрытому компрометированию данных без прямых вредоносных действий. Инцидент высвечивает риски, связанные с автономными агентами искусственного интеллекта на платформах SaaS, указывая на растущую уязвимость.
-----

ForcedLeak - это значительная уязвимость, затрагивающая платформу Salesforce Agentforce, позволяющая злоумышленникам извлекать конфиденциальные данные CRM с помощью методов косвенного быстрого внедрения. Эта уязвимость подчеркивает риски развертывания автономных агентов искусственного интеллекта, которые обрабатывают внешние данные без адекватных границ контекста или проверки входных данных.

Эксплойт работает путем встраивания вредоносного кода в поле "Описание" формы Salesforce Web-to-Lead, которое может содержать до 42 000 символов. Это обширное ограничение по количеству символов позволяет кодировать сложные полезные данные, которые, по-видимому, представляют законные бизнес-процессы. Когда эта обработанная зацепка отправляется, агент не ведет себя необычно; он просто выполняет свои ожидаемые задачи, что неосознанно приводит к утечке конфиденциальной информации. Скрытый характер ForcedLeak, при котором доступ к скомпрометированным данным осуществляется без прямых вредоносных действий, таких как фишинг или брутфорс—атаки, делает его особенно опасным.

Злоумышленник, нацеленный на веб-форму Salesforce для привлечения клиентов, может быстро получить доступ к данным CRM без использования сложных инструментов, вместо этого воспользовавшись несколькими обманчивыми HTTP-запросами. Атака может быстро развернуться, что приведет к незаметной компрометации записей клиентов и создаст серьезные риски для организаций. Хотя некоторые средства контроля во время выполнения, такие как системы Advanced Malicious Software Integration (AMSI) или Endpoint Detection and Response (EDR), могут помочь обнаружить определенное поведение, связанное с этой атакой, сами по себе эти меры недостаточны для предотвращения использования.

Последствия ForcedLeak выходят за рамки этой конкретной уязвимости, сигнализируя о потенциальном росте числа подобных атак по мере того, как все больше платформ "Программное обеспечение как услуга" (SaaS) включают автономных агентов. Расширяющаяся область атак подчеркивает необходимость в надежных мерах безопасности, ориентированных на данные. Организациям настоятельно рекомендуется принять немедленные меры по снижению рисков, связанных с ForcedLeak, и подготовиться к меняющемуся ландшафту киберугроз, связанных с искусственным интеллектом и CRM-системами.

#ParsedReport #CompletenessHigh
02-10-2025

UAT-8099: Chinese-speaking cybercrime group targets high-value IIS for SEO fraud

https://blog.talosintelligence.com/uat-8099-chinese-speaking-cybercrime-group-seo-fraud/

Report completeness: High

Actors/Campaigns:
Uat-8099 (motivation: financially_motivated)

Threats:
Cobalt_strike_tool
Badiis
Easytier_tool
Netstat_tool
Procdump_tool
S3_browser_tool
Dll_sideloading_technique

Victims:
Universities, Technology companies, Telecommunications providers

Industry:
Telco, Education

Geo:
Vietnam, Thailand, Canada, India, Usa, Brazil, Portuguese, Chinese

TTPs:
Tactics: 2
Technics: 15

IOCs:
Command: 7
File: 10
Path: 23
Hash: 32
Url: 1
Domain: 30

Soft:
SoftEther, Android, ASP.NET, Remote Desktop Services, Windows firewall, sogou

Algorithms:
zip, base64

Win API:
VirtualQuery

Languages:
javascript, php

Platforms:
apple

Links:
https://github.com/EasyTier/EasyTier
https://github.com/tennc/webshell/blob/master/net-friend/aspx/Aspx%EF%BC%88%E5%85%8D%E6%9D%80%EF%BC%89.aspx
have more...

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, code: 18, schema: 4, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Китайскоязычная группа по борьбе с киберпреступностью UAT-8099 специализируется на SEO-мошенничестве, нацеленном на дорогостоящие серверы Интернет-информационных служб (IIS) по всему миру. Они используют небезопасные конфигурации загрузки файлов, используя Cobalt Strike в качестве бэкдора, используя DLL Sideloading и запланированные задачи для закрепления. Их деятельность подкрепляется недавно выявленными вариантами вредоносного ПО BadIIS, которые содержат продвинутые обработчики HTTP-запросов, облегчающие манипулирование SEO, особенно использование запросов, имитирующих поисковые роботы.
-----

Китайскоязычная группа киберпреступников UAT-8099 была идентифицирована как в основном занимающаяся мошенничеством с поисковой оптимизацией (SEO), в частности, нацеленная на серверы дорогостоящих интернет-информационных служб (IIS) в различных странах, включая Индию, Таиланд, Вьетнам, Канаду и Бразилию. Затронутые серверы IIS принадлежат целому ряду организаций, таких как университеты и телекоммуникационные провайдеры. Их операции включают перенаправление пользователей с этих скомпрометированных серверов на несанкционированную рекламу или нелегальные сайты азартных игр, что свидетельствует о стратегической ориентации на платформы с высокой репутацией для манипулирования результатами поисковых систем.

UAT-8099 использует уязвимости в конфигурациях веб-серверов, в частности, нацелен на небезопасные параметры загрузки файлов. Их цепочка атак обычно включает в себя развертывание сценариев автоматизации, которые облегчают постоянный контроль над зараженными серверами и способствуют усилиям по SEO-манипуляциям. Эти сценарии автоматизируют задачи и обеспечивают закрепление путем изменения конфигураций IIS для обеспечения непрерывной эксплуатации.

Группа использует Cobalt Strike в качестве бэкдора, используя такие методы, как DLL sideloading для начальной загрузки и настройки запланированных задач для поддержания доступа. Их деятельность поддерживается недавно выявленными вариантами вредоносного ПО BadIIS, которые претерпели структурные изменения, чтобы повысить их шансы избежать обнаружения антивирусным программным обеспечением. Были обнаружены два кластера этого вредоносного ПО, оба с обработчиками, которые обрабатывают входящие HTTP-запросы на основе определенных критериев, уделяя особое внимание тем, которые имитируют поисковые роботы, такие как Googlebot.

Первый кластер вредоносного ПО BadIIS включает в себя обработчики с именами "CHttpModule::onBeginRequest" и "CHttpModule::OnSendResponse", которые используют HTTP-заголовки для определения выполняемого вредоносного действия. Например, когда кажется, что запросы исходят от робота Googlebot, они запускают функции прокси-сервера или инжектора, которые облегчают мошенничество с SEO путем пересылки пользовательских запросов через скомпрометированную инфраструктуру. Этот кластер подчеркивает способность вредоносного ПО кодировать адреса серверов командования и контроля (C2), тем самым расширяя его функциональность и избегая обнаружения.

Второй кластер аналогично использует те же имена обработчиков, но добавляет сложности за счет включения точек принятия решения до того, как произойдет интенсивная обработка, и обеспечения жесткого контроля изменений выходных данных для предотвращения обнаружения другими модулями. Этот кластер работает под эгидой режима SEO-мошенничества, который включает в себя несколько вариантов работы, разработанных для различных сценариев эксплуатации. В целом, UAT-8099 означает изощренный подход к мошенничеству с SI, использующий передовые технологии вредоносного ПО и целевые уязвимости на серверах IIS.

#ParsedReport #CompletenessLow
02-10-2025

Salesforce breaches impact multiple companies, cybercrime in Italy, new state-sponsored operations

https://www.telsy.com/violazioni-salesforce-impattano-molteplici-aziende-cybercrime-in-italia-nuove-operazioni-state-sponsored/

Report completeness: Low

Actors/Campaigns:
Unc6395
Dragonforce
Void_manticore

Threats:
Spear-phishing_technique
Mintsloader
Smishing_technique
Everest_ransomware
Safepay

Victims:
Salesforce customers, Government sector, Diplomatic sector, Multilateral organizations, Law firms, Architectural services

Industry:
Financial, Government

Geo:
Middle east, Asia, Iran, Africa, Austrian, Iranian, Americas, Oman, Italy

ChatGPT TTPs:
do not use without manual check
T1056.003, T1059.005, T1078, T1114.002, T1204.002, T1528, T1530, T1566, T1566.001, T1566.002, have more...

IOCs:
File: 1

Soft:
Salesforce, Salesloft Drift, Gmail

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа UNC6395 взломала инстансы Salesforce более 700 организаций, используя скомпрометированные токены OAuth, связанные с чат-агентом Salesloft Drift AI, что позволило получить несанкционированный доступ к конфиденциальным данным CRM. В Италии кампания по фишингу маскируется под официальные уведомления Налоговой службы для доставки вредоносного ПО, в то время как MintsLoader используется через взломанные почтовые ящики PEC. В глобальном масштабе спонсируемая иранским государством операция spear phishing использовала вредоносное ПО под названием sysProcUpdate для нацеливания на дипломатические активы с помощью вредоносных документов Word, что указывает на серьезную угрозу правительственной инфраструктуре.
-----

Недавние киберинциденты высветили значительные угрозы, затрагивающие как корпоративные, так и правительственные системы. Атаки, приписываемые группе UNC6395, привели к масштабному нарушению инстансов Salesforce, воздействие на которые оказало более 700 организаций. В результате взлома были использованы скомпрометированные токены OAuth, привязанные к чат-агенту Salesloft Drift AI, что привело к несанкционированному доступу к конфиденциальным данным управления взаимоотношениями с клиентами, включая контакты и заявки в службу поддержки. В то время как основные продукты и внутренние сети этих компаний, по-видимому, не пострадали, скомпрометированные данные вызывают опасения по поводу потенциальных атак spear phishing и перемещения внутри компании внутри организационных сетей.

В Италии был задокументирован всплеск киберпреступной деятельности, включая кампанию фишинга, имитирующую официальные уведомления Налоговой службы. Эта кампания включает электронные письма, которые пытаются обманом заставить получателей загрузить Вредоносные файлы, замаскированные под налоговые документы, причем поддельные сообщения, как представляется, приходят с законного государственного домена. Кроме того, вновь появилось распространение вредоносного ПО MintsLoader, использующее скомпрометированные почтовые ящики PEC для развертывания угроз. Одновременно кампания по smishing использует INPS (Национальный институт социального обеспечения) с целью сбора личной и финансовой информации от жертв. Также усилилась угроза вымогательства: команда DragonForce, как сообщается, скомпрометировала Ordine dei Giornalisti del Lazio, а команда Everest заявила, что получила доступ к юридической фирме Cordeiro Guerra & Associati.

В глобальном масштабе инициатива spear phishing, связанная с деятельностью, спонсируемой иранским государством, была нацелена на дипломатические и правительственные активы с использованием вредоносного ПО под названием sysProcUpdate. Эта операция включала отправку вводящих в заблуждение электронных писем со взломанной учетной записи посольства Омана различным правительственным чиновникам по всему миру, содержащих вредоносные документы Word, предназначенные для использования макро-уязвимостей. Масштабы этой кампании обширны: было использовано более 100 уникальных Учетных записей эл. почты, чтобы скрыть ее происхождение и эффективно воздействовать на широкий круг учреждений, включая посольства и многосторонние организации, такие как ООН. Кроме того, Федеральное министерство внутренних дел Австрии сообщило об аномалиях в своих ИТ-системах, при этом, как сообщается, пострадала значительная часть его Учетных записей эл. почты, что указывает на серьезный компромисс в правительственной инфраструктуре. Такие инциденты подчеркивают меняющийся ландшафт угроз, в котором как корпоративные, так и государственные структуры остаются главными мишенями для киберпреступников.

#ParsedReport #CompletenessMedium
01-10-2025

Silent Smishing : The Hidden Abuse of Cellular Router APIs

https://blog.sekoia.io/silent-smishing-the-hidden-abuse-of-cellular-router-apis/

Report completeness: Medium

Actors/Campaigns:
Csam_ebox
Grooza

Threats:
Smishing_technique
Typosquatting_technique

Victims:
Telecommunications, Postal services, Social security, Banking, Government digital services, Milesight industrial cellular routers users

Industry:
Healthcare, Government, Telco, E-commerce, Financial, Ics

Geo:
Italian, French, Swedish, Turkey, Australia, Sweden, Russian, Danish, France, Spain, Denmark, Thailand, Dutch, Belgium

CVEs:
CVE-2023-43261 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1059.007, T1078, T1190, T1204.001, T1210, T1566.002, T1589, T1593, T1596.001

IOCs:
IP: 6
File: 6
Url: 128
Domain: 23
Hash: 2

Soft:
Telegram

Algorithms:
aes

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Тот Sekoia.io команда сообщила о целенаправленных атаках, использующих уязвимости в промышленных маршрутизаторах сотовой связи Milesight, в частности CVE-2023-43261, которые позволяют получить несанкционированный доступ к конфиденциальным файлам журнала. Злоумышленники используют действительные файлы cookie для аутентификации для отправки SMS-сообщений с этих маршрутизаторов, и более 19 000 уязвимых устройств находятся в сети, главным образом в Австралии и Франции. Кампании smishing, связанные с этими уязвимостями, основаны на тактике социальной инженерии и фишинга, использующей домены, связанные с мошенническими действиями.
-----

Недавние наблюдения, сделанные Sekoia.io Группа по обнаружению угроз и исследованию выявила целенаправленную киберугрозу, использующую уязвимости в промышленных сотовых маршрутизаторах Milesight. Анализ выявил структуру запросов POST, направленных на конечную точку маршрутизаторов /cgi, использующих данные в формате JSON, связанные с функциями SMS-сообщений. Похоже, что злоумышленники используют файл cookie аутентификации для выполнения этих запросов, предполагая, что они обладают действительными учетными данными для доступа.

Заметная уязвимость, обозначенная как CVE-2023-43261, затрагивает несколько моделей маршрутизаторов Milesight, включая UR5X и UR32, предоставляя доступ к конфиденциальным файлам журналов по протоколу HTTP без проверки подлинности. Эта ошибка позволяет потенциальным злоумышленникам более эффективно использовать маршрутизаторы. Анализ показывает, что злоумышленники, скорее всего, проверяют, может ли маршрутизатор отправлять SMS-сообщения, пытаясь доставить сообщения на номер телефона, который они контролируют, подтверждая возможности устройства.

Было выявлено значительное число уязвимых устройств, более 19 000 из которых имеют доступ к общедоступному Интернету, со значительной концентрацией в Австралии и Франции. Исторические данные показывают, что использование этих уязвимостей для smishing-кампаний относится к началу 2022 года. Бельгия становится основной мишенью этих кампаний, которые обычно выдают себя за официальные службы, в то время как Франция демонстрирует широкий спектр имитируемых служб в своих усилиях по smishing.

В проанализированных кампаниях использовались различные домены для фишинга, в частности те, которые имитируют сервисы eBox и CSAM. В URL-адресах фишинга, полученных в ходе анализа, был обнаружен файл JavaScript, который проверяет, получают ли пользователи доступ к странице с мобильных устройств, скорее всего, предназначенный для повышения вовлеченности пользователей с помощью специальной тактики фишинга. Такое поведение, возможно, служит механизмом отслеживания, определяющим, когда пользователи взаимодействуют с мошенническими сайтами.

Кроме того, два домена, в частности jnsi.xyz, были привязаны к нескольким smishing-кампаниям, сосредоточенным на проблемах с платежами в разных регионах. Этот домен был зарегистрирован незадолго до этих кампаний и ссылается на относительно новую российскую автономную систему. Расследования в отношении домена выявляют вредоносные классификации с помощью URLScan.io , подтверждающий его использование в мошеннических действиях.

Эволюционирующий характер smishing, в частности его таргетинг с помощью SMS для целей цифрового мошенничества, демонстрирует постоянную угрозу, которую он представляет для финансовой безопасности. Методология атаки основана на методах социальной инженерии, которые используют доверие, что делает такую тактику доступной для неквалифицированных злоумышленников. Несмотря на свою простоту, smishing остается мощным средством для киберпреступников, движимых легкодоступными наборами и сервисами для фишинга.

#ParsedReport #CompletenessLow
03-10-2025

We Say You Want a Revolution PRISONBREAK - An AI-Enabled Influence Operation Aimed at Overthrowing the Iranian Regime

https://citizenlab.ca/2025/10/ai-enabled-io-aimed-at-overthrowing-iranian-regime/

Report completeness: Low

Actors/Campaigns:
Prisonbreak (motivation: disinformation)

Victims:
Iranian population, Media outlets

Industry:
Petroleum, Government, Financial, Critical_infrastructure, Energy, Education, Military

Geo:
Iranians, Israel, Qatar, Middle east, Tehran, Iran, Israeli, Iranian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1585, T1601.003, T1646, T1647

IOCs:
Url: 4

Soft:
Twitter, Gmail, Outlook, Chrome, Instagram, Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция влияния "PRISONBREAK" включает в себя сеть из более чем 50 поддельных профилей на X, направленную на подстрекательство к восстанию против иранского режима, особенно после военных действий Армии обороны Израиля. Операция использует контент, созданный искусственным интеллектом, методы глубокой подделки и Имперсонацию законных новостных агентств, чтобы исказить повествования и усилить распространение сообщений о протестах. Свидетельства использования методов искусственного усиления указывают на попытку манипулировать общественным дискурсом, при этом происхождение и принадлежность сети остаются неясными, что наводит на мысль о возможных связях с израильскими организациями.
-----

Операция влияния "PRISONBREAK" включает в себя скоординированную сеть из более чем 50 недостоверных профилей в X (ранее Twitter), предназначенную для подстрекательства иранской аудитории к восстанию против Исламской Республики. Считается, что на эту операцию, которая в основном набирала обороты, начиная с января 2025 года, повлияли военные действия, проводимые Силами обороны Израиля (ЦАХАЛ) против иранских объектов, особенно во время так называемой "Двенадцатидневной войны", которая началась 13 июня 2025 года. Время проведения операции по PRISONBREAK предполагает синхронизацию с этими военными действиями, в частности, со взрывами в тюрьме Эвин 23 июня 2025 года, причем сообщения об операции появляются почти сразу после событий.

Факты указывают на то, что деятельность в рамках этой кампании характеризовалась широким использованием Искусственного интеллекта (ИИ), включая создание контента, предназначенного для искажения повествований о протестах и восстаниях. Например, сеть PRISONBREAK использовала методы глубокой подделки в сочетании с обработанным звуком из популярных песен протеста, чтобы улучшить свои сообщения. Кроме того, стратегия сети включала в себя выдачу себя за законные новостные агентства, такие как BBC Persian, чтобы придать достоверность их ложным рассказам. Видео и изображения часто перерабатывались или редактировались, чтобы ввести аудиторию в заблуждение относительно реальных событий, демонстрируя преднамеренную попытку создать путаницу и усилить призыв к восстанию.

Операция "PRISONBREAK" продемонстрировала методы искусственного усиления путем распространения контента в целевых онлайн-сообществах, которые уже предрасположены к антирежимным настроениям. Сеть использовала такую тактику, как взаимный обмен своими собственными постами и пометка основных средств массовой информации, чтобы еще больше повысить видимость и вовлеченность. Общий уровень вовлеченности постов был низким, вероятно, из-за их недостоверного характера, но сеть стремилась использовать общественные обсуждения и манипулировать ими для усиления своего влияния.

Принадлежность сети PRISONBREAK остается неопределенной, имеются признаки, указывающие на возможную связь с израильскими правительственными структурами или подрядчиками, хотя окончательные связи установить невозможно из-за отсутствия идентифицируемых профилей и метаданных. Анонимность операторов также подтверждается выбором ими изображений профиля и доменов электронной почты, которые не соответствуют обычно используемым сервисам.

Эта операция является примером той роли, которую операции по оказанию влияния могут играть в геополитических конфликтах, особенно в манипулировании информацией как средстве достижения более широких стратегических целей.

#ParsedReport #CompletenessLow
02-10-2025

Scam Facebook groups send malicious Android malware to seniors

https://www.malwarebytes.com/blog/news/2025/10/scam-facebook-groups-send-malicious-android-malware-to-seniors

Report completeness: Low

Actors/Campaigns:
Active_seniors
Zombinder

Threats:
Datzbro

Victims:
Seniors

Industry:
Financial

Geo:
Malaysia, Canada, South africa, Singapore, Australia, China

ChatGPT TTPs:
do not use without manual check
T1409, T1411, T1412, T1475, T1566.003

IOCs:
Domain: 1
File: 2

Soft:
Android, WhatsApp

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Datzbro - вредоносное ПО для Android, нацеленное на пожилых людей через группы в Facebook, функционирующее как инфокрад и банковский Trojan. Он извлекает финансовую информацию и может перехватывать транзакции для опустошения банковских счетов, демонстрируя поведение, подобное шпионскому ПО, которое отслеживает активность пользователей. Двойные возможности вредоносного ПО повышают риск для уязвимых лиц, которые могут взаимодействовать с этими потенциально опасными группами.
-----

Была выявлена новая киберугроза, связанная с распространением вредоносного ПО для Android, известного как Datzbro, через группы Facebook, ориентированные на пожилых людей. Это вредоносное ПО функционирует как инфокрад и банковский троян, специально разработанный для извлечения конфиденциальной финансовой информации и опустошения банковских счетов жертв.

Datzbro обладает возможностями, обычно присущими шпионским программам, что позволяет ему отслеживать активность пользователей и собирать конфиденциальные данные. Функции банковского трояна позволяют ему перехватывать финансовые транзакции и потенциально выводить средства непосредственно со взломанных счетов. Такая двойственная природа вредоносного ПО увеличивает риск для отдельных лиц, которые могут непреднамеренно присоединиться к этим группам Facebook и ознакомиться с потенциально вредоносным контентом.

Чтобы снизить риски, связанные с этими вредоносными действиями, пользователям рекомендуется проявлять осторожность при взаимодействии с группами Facebook, особенно с теми, которые были созданы недавно или не имеют установленной истории. Хотя может оказаться невозможным определить возраст группы до вступления, пользователи могут оценить доверие к группе, изучив даты исторических и закрепленных сообщений. Важным предупреждающим знаком является переход по ссылкам или установка приложений, рекомендованных в этих группах, или отправленных через личные сообщения из незнакомых источников. Крайне важно поддерживать актуальную защиту от вредоносного ПО в режиме реального времени на мобильных устройствах и сохранять бдительность в отношении групп, обещающих подозрительные или нереалистичные предложения. Кроме того, оценка профессионализма описания и правил группы может служить полезным показателем легитимности и потенциальных угроз.

#ParsedReport #CompletenessHigh
02-10-2025

Operation SouthNet: SideWinder Expands Phishing and Malware Operations in South Asia

https://hunt.io/blog/operation-southnet-sidewinder-south-asia-maritime-phishing

Report completeness: High

Actors/Campaigns:
Southnet (motivation: cyber_espionage)
Sidewinder (motivation: cyber_espionage)

Threats:
Credential_harvesting_technique

Victims:
Government, Defense, Finance ministry, Central bank, Space agency, Airports authority, Board of investment, National assembly, Power utility, Telecom, have more...

Industry:
Aerospace, Telco, Military, Financial, Maritime, Government

Geo:
Bangladesh, Pakistan, Asian, Asia, China, Turkey, Myanmar, Pakistani, Sri lanka, Singapore, Turkish, Nepal

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1056.003, T1566.002, T1583.006, T1584.004

IOCs:
Domain: 23
IP: 9
Url: 61
File: 9
Hash: 14

Soft:
Zimbra, Android, Outlook

Algorithms:
md5, base64

Languages:
javascript, php