CTT Report Hub
#ParsedReport #CompletenessLow 16-01-2026 Dark Web Profile: Orion Ransomware https://socradar.io/blog/dark-web-profile-orion-ransomware/ Report completeness: Low Threats: Orion_ransomware Babuk2 Lockbit Blackcat Babuk Industry: Healthcare Soft: Telegram
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Orion Ransomware, по-видимому, является в значительной степени рекламной организацией, а не сложной операцией вымогателей, в основном действующей на сайтах утечки данных без доказательств фактической разработки программ-вымогателей или подтвержденных нарушений. Его модель напоминает брокерское обслуживание доступа и вымогательство данных, а не классическую программу-вымогатель как услугу, в ней отсутствуют технические детали, типичные для известных Ransomware. Кроме того, связи Orion с предыдущей подпольной деятельностью и такими группами, как Babuk2, предполагают сосредоточение внимания на практике, основанной на репутации, а не на реальных оперативных возможностях.
-----
Orion Ransomware - это недавно выявленная операция, которая всплыла после обнаружения неизвестного сайта утечки данных программы-вымогателя (DLS), в котором перечислены 13 предполагаемых жертв. Несмотря на то, что Orion публично позиционирует себя как активного актора программ-вымогателей в экосистемах Dark Web, тщательный анализ показывает отсутствие доказательств, указывающих на подлинную разработку программ-вымогателей или независимо проверенные нарушения. Его присутствие, по-видимому, ограничивается деятельностью на местах утечек и рекламными сообщениями, а не демонстрацией реальных оперативных возможностей.
Операционная модель Orion предполагает "эксклюзивную партнерскую программу", которая подчеркивает потенциал высокой прибыли, анонимность и быстрые выплаты. Однако обмен сообщениями больше похож на брокерские услуги доступа и схемы вымогательства данных, а не на усовершенствованное предложение "Программа-вымогатель как услуга" (RaaS). Примечательно, что отсутствуют какие-либо технические характеристики полезной нагрузки вредоносного ПО, методов шифрования или функциональных возможностей панели, которые обычно выделяются известными группами вымогателей. Это отсутствие технических деталей говорит о том, что Orion, возможно, больше сосредоточена на привлечении партнеров с помощью маркетинга, а не на реальной надежности обслуживания.
Дальнейшее изучение инфраструктуры и коммуникаций Orion позволяет предположить наличие связей с предыдущей подпольной деятельностью, не связанной напрямую с самостоятельной операцией вымогателей. TOX-адрес, связанный с DLS, имеет историю на различных форумах Dark Web, известных продажей доступа, рекламными акциями панели программ-вымогателей и утечками данных. Обсуждения, связанные с этой идентификацией, указывают на такие практики, как перепродажа данных и связи с Babuk2, группой, признанной за подход, основанный на репутации, но технически несовершенный.
Заявления Orion о виктимизации охватывают разные страны и секторы, с заметной концентрацией в Соединенных Штатах. Эта схема больше соответствует общим стратегиям монетизации программ-вымогателей, чем предполагает какие-либо конкретные мотивы таргетинга. Оперативные совпадения с Babuk2 еще больше снижают уверенность в предполагаемых возможностях программы-вымогателя Orion, поскольку эти связи подчеркивают модели утилизации данных и репутационную тактику, а не оригинальные атаки.
Таким образом, Orion Ransomware является примером растущей формы вымогательства, основанного на репутации, которой не хватает технической изощренности, присущей обычным операциям с программами-вымогателями. Его стратегии вербовки, историческая принадлежность и виктимология указывают на то, что он полагается на унаследованную уязвимость, а не на законные вторжения, что поднимает вопросы о его операционной эффективности и авторитете в условиях киберугрозы.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Orion Ransomware, по-видимому, является в значительной степени рекламной организацией, а не сложной операцией вымогателей, в основном действующей на сайтах утечки данных без доказательств фактической разработки программ-вымогателей или подтвержденных нарушений. Его модель напоминает брокерское обслуживание доступа и вымогательство данных, а не классическую программу-вымогатель как услугу, в ней отсутствуют технические детали, типичные для известных Ransomware. Кроме того, связи Orion с предыдущей подпольной деятельностью и такими группами, как Babuk2, предполагают сосредоточение внимания на практике, основанной на репутации, а не на реальных оперативных возможностях.
-----
Orion Ransomware - это недавно выявленная операция, которая всплыла после обнаружения неизвестного сайта утечки данных программы-вымогателя (DLS), в котором перечислены 13 предполагаемых жертв. Несмотря на то, что Orion публично позиционирует себя как активного актора программ-вымогателей в экосистемах Dark Web, тщательный анализ показывает отсутствие доказательств, указывающих на подлинную разработку программ-вымогателей или независимо проверенные нарушения. Его присутствие, по-видимому, ограничивается деятельностью на местах утечек и рекламными сообщениями, а не демонстрацией реальных оперативных возможностей.
Операционная модель Orion предполагает "эксклюзивную партнерскую программу", которая подчеркивает потенциал высокой прибыли, анонимность и быстрые выплаты. Однако обмен сообщениями больше похож на брокерские услуги доступа и схемы вымогательства данных, а не на усовершенствованное предложение "Программа-вымогатель как услуга" (RaaS). Примечательно, что отсутствуют какие-либо технические характеристики полезной нагрузки вредоносного ПО, методов шифрования или функциональных возможностей панели, которые обычно выделяются известными группами вымогателей. Это отсутствие технических деталей говорит о том, что Orion, возможно, больше сосредоточена на привлечении партнеров с помощью маркетинга, а не на реальной надежности обслуживания.
Дальнейшее изучение инфраструктуры и коммуникаций Orion позволяет предположить наличие связей с предыдущей подпольной деятельностью, не связанной напрямую с самостоятельной операцией вымогателей. TOX-адрес, связанный с DLS, имеет историю на различных форумах Dark Web, известных продажей доступа, рекламными акциями панели программ-вымогателей и утечками данных. Обсуждения, связанные с этой идентификацией, указывают на такие практики, как перепродажа данных и связи с Babuk2, группой, признанной за подход, основанный на репутации, но технически несовершенный.
Заявления Orion о виктимизации охватывают разные страны и секторы, с заметной концентрацией в Соединенных Штатах. Эта схема больше соответствует общим стратегиям монетизации программ-вымогателей, чем предполагает какие-либо конкретные мотивы таргетинга. Оперативные совпадения с Babuk2 еще больше снижают уверенность в предполагаемых возможностях программы-вымогателя Orion, поскольку эти связи подчеркивают модели утилизации данных и репутационную тактику, а не оригинальные атаки.
Таким образом, Orion Ransomware является примером растущей формы вымогательства, основанного на репутации, которой не хватает технической изощренности, присущей обычным операциям с программами-вымогателями. Его стратегии вербовки, историческая принадлежность и виктимология указывают на то, что он полагается на унаследованную уязвимость, а не на законные вторжения, что поднимает вопросы о его операционной эффективности и авторитете в условиях киберугрозы.
#ParsedReport #CompletenessMedium
16-01-2026
Remcos RAT is distributing to domestic users
https://asec.ahnlab.com/ko/92135/
Report completeness: Medium
Threats:
Remcos_rat
Clipbanker
Passview_tool
Victims:
Domestic users, Illegal gambling site operators, Ordinary users
Industry:
Entertainment
Geo:
Korean, Korea
ChatGPT TTPs:
T1027, T1027.013, T1036, T1055, T1056.001, T1059.001, T1059.005, T1113, T1123, T1125, have more...
IOCs:
File: 9
Path: 3
IP: 3
Soft:
VeraCrypt, Telegram, Discord
Algorithms:
base64, md5
Languages:
dotnet, powershell
16-01-2026
Remcos RAT is distributing to domestic users
https://asec.ahnlab.com/ko/92135/
Report completeness: Medium
Threats:
Remcos_rat
Clipbanker
Passview_tool
Victims:
Domestic users, Illegal gambling site operators, Ordinary users
Industry:
Entertainment
Geo:
Korean, Korea
ChatGPT TTPs:
do not use without manual checkT1027, T1027.013, T1036, T1055, T1056.001, T1059.001, T1059.005, T1113, T1123, T1125, have more...
IOCs:
File: 9
Path: 3
IP: 3
Soft:
VeraCrypt, Telegram, Discord
Algorithms:
base64, md5
Languages:
dotnet, powershell
ASEC
국내 사용자들을 대상으로 유포 중인 Remcos RAT - ASEC
국내 사용자들을 대상으로 유포 중인 Remcos RAT ASEC
CTT Report Hub
#ParsedReport #CompletenessMedium 16-01-2026 Remcos RAT is distributing to domestic users https://asec.ahnlab.com/ko/92135/ Report completeness: Medium Threats: Remcos_rat Clipbanker Passview_tool Victims: Domestic users, Illegal gambling site operators…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Троянец удаленного доступа Remcos (RAT) активно распространяется в Южной Корее, в основном нацеливаясь на пользователей посредством замаскированной установки таких программ, как VeraCrypt, и ссылок с нелегальных сайтов азартных игр. Это вредоносное ПО использует дроппер, который генерирует скрипты VBS для облегчения дальнейшего выполнения вредоносного ПО, используя методы запутывания, такие как ложные типы файлов и вводящие в заблуждение комментарии. Remcos RAT обеспечивает широкое дистанционное управление, включая выполнение команд, кражу информации и управление файлами и процессами, что создает значительный риск для конфиденциальных пользовательских данных.
-----
Центр разведки безопасности AhnLab подтвердил недавнее распространение троянца удаленного доступа Remcos (RAT), который, в частности, нацелен на внутренних пользователей в Южной Корее. Точный источник распространения остается неизвестным. Однако есть подозрения, что вредоносное ПО поставляется в комплекте с программами, выдающими себя за установочные файлы VeraCrypt или связанными с нелегальными веб-сайтами азартных игр.
Сообщается, что вредоносное ПО включает компонент dropper; оно идентифицируется как программа, потенциально функционирующая как инструмент поиска в базе данных под видом установщика VeraCrypt. Во время выполнения он генерирует два скрипта вредоносного ПО VBS, которые идентифицируются случайными именами и хранятся в каталоге %TEMP%. Функциональность, связанная с этим дроппером, может привести к последующим этапам выполнения вредоносного ПО.
Стратегия атаки использует несколько уровней запутывания с помощью скриптов VBS и PowerShell, предназначенных для загрузки и внедрения Remcos RAT. Эти скрипты часто содержат вводящие в заблуждение комментарии и фиктивные данные, чтобы скрыть их истинное назначение. Кроме того, в отчете указывается, что один вариант маскируется под файл JPG, в то время как на самом деле он содержит переносимый исполняемый файл в кодировке Base64 (PE), скрытый за определенными разделителями.
Сам Remcos RAT продается для законной удаленной поддержки, но активно используется злоумышленниками акторами из-за его обширных возможностей удаленного управления. Это позволяет злоумышленникам выполнять команды, управлять файлами и процессами, а также осуществлять кражу информации с помощью таких функций, как Регистрация нажатий клавиш, захват скриншотов, управление веб-камерами и микрофонами и извлечение учетных данных веб-браузера.
В настоящее время, по-видимому, основными целями являются операторы и пользователи нелегальных сайтов азартных игр; однако наличие другого вредоносного ПО, Маскировки под VeraCrypt, позволяет предположить, что обычные пользователи также могут непреднамеренно стать жертвами. Таким образом, пользователи, зараженные Remcos RAT, подвергаются высокому риску кражи их конфиденциальной информации, учитывая надежные возможности вредоносного ПО для эксфильтрации данных и контроля над скомпрометированными системами.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Троянец удаленного доступа Remcos (RAT) активно распространяется в Южной Корее, в основном нацеливаясь на пользователей посредством замаскированной установки таких программ, как VeraCrypt, и ссылок с нелегальных сайтов азартных игр. Это вредоносное ПО использует дроппер, который генерирует скрипты VBS для облегчения дальнейшего выполнения вредоносного ПО, используя методы запутывания, такие как ложные типы файлов и вводящие в заблуждение комментарии. Remcos RAT обеспечивает широкое дистанционное управление, включая выполнение команд, кражу информации и управление файлами и процессами, что создает значительный риск для конфиденциальных пользовательских данных.
-----
Центр разведки безопасности AhnLab подтвердил недавнее распространение троянца удаленного доступа Remcos (RAT), который, в частности, нацелен на внутренних пользователей в Южной Корее. Точный источник распространения остается неизвестным. Однако есть подозрения, что вредоносное ПО поставляется в комплекте с программами, выдающими себя за установочные файлы VeraCrypt или связанными с нелегальными веб-сайтами азартных игр.
Сообщается, что вредоносное ПО включает компонент dropper; оно идентифицируется как программа, потенциально функционирующая как инструмент поиска в базе данных под видом установщика VeraCrypt. Во время выполнения он генерирует два скрипта вредоносного ПО VBS, которые идентифицируются случайными именами и хранятся в каталоге %TEMP%. Функциональность, связанная с этим дроппером, может привести к последующим этапам выполнения вредоносного ПО.
Стратегия атаки использует несколько уровней запутывания с помощью скриптов VBS и PowerShell, предназначенных для загрузки и внедрения Remcos RAT. Эти скрипты часто содержат вводящие в заблуждение комментарии и фиктивные данные, чтобы скрыть их истинное назначение. Кроме того, в отчете указывается, что один вариант маскируется под файл JPG, в то время как на самом деле он содержит переносимый исполняемый файл в кодировке Base64 (PE), скрытый за определенными разделителями.
Сам Remcos RAT продается для законной удаленной поддержки, но активно используется злоумышленниками акторами из-за его обширных возможностей удаленного управления. Это позволяет злоумышленникам выполнять команды, управлять файлами и процессами, а также осуществлять кражу информации с помощью таких функций, как Регистрация нажатий клавиш, захват скриншотов, управление веб-камерами и микрофонами и извлечение учетных данных веб-браузера.
В настоящее время, по-видимому, основными целями являются операторы и пользователи нелегальных сайтов азартных игр; однако наличие другого вредоносного ПО, Маскировки под VeraCrypt, позволяет предположить, что обычные пользователи также могут непреднамеренно стать жертвами. Таким образом, пользователи, зараженные Remcos RAT, подвергаются высокому риску кражи их конфиденциальной информации, учитывая надежные возможности вредоносного ПО для эксфильтрации данных и контроля над скомпрометированными системами.
#ParsedReport #CompletenessLow
17-01-2026
UNO reverse card: stealing cookies from cookie stealers
https://www.cyberark.com/resources/threat-research-blog/uno-reverse-card-stealing-cookies-from-cookie-stealers
Report completeness: Low
Threats:
Stealc
Clickfix_technique
Victims:
Youtube accounts
Industry:
Telco, Media
Geo:
Russian, Italian, Kazakhstan, Ukrainian, Russia, Asian
ChatGPT TTPs:
T1059.007, T1189, T1190
Soft:
Twitter, Photoshop
Languages:
javascript
Platforms:
apple
17-01-2026
UNO reverse card: stealing cookies from cookie stealers
https://www.cyberark.com/resources/threat-research-blog/uno-reverse-card-stealing-cookies-from-cookie-stealers
Report completeness: Low
Threats:
Stealc
Clickfix_technique
Victims:
Youtube accounts
Industry:
Telco, Media
Geo:
Russian, Italian, Kazakhstan, Ukrainian, Russia, Asian
ChatGPT TTPs:
do not use without manual checkT1059.007, T1189, T1190
Soft:
Twitter, Photoshop
Languages:
javascript
Platforms:
apple
Cyberark
UNO reverse card: stealing cookies from cookie stealers
Criminal infrastructure often fails for the same reasons it succeeds: it is rushed, reused, and poorly secured. In the case of StealC, the thin line between attacker and victim turned out to be...
CTT Report Hub
#ParsedReport #CompletenessLow 17-01-2026 UNO reverse card: stealing cookies from cookie stealers https://www.cyberark.com/resources/threat-research-blog/uno-reverse-card-stealing-cookies-from-cookie-stealers Report completeness: Low Threats: Stealc C…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Операция StealC вредоносного ПО выявляет значительные уязвимости в инфраструктурах киберпреступников, в частности уязвимость XSS, которую можно использовать в панели управления как сервис. Кампании, приписываемые злоумышленнику "YouTubeTA", использовали уникальные идентификаторы сборки, связанные с аккаунтами YouTube в период с 2025 по 2026 год, что свидетельствует об ограниченных методах обеспечения операционной безопасности. Слабые места в инфраструктуре StealC's, особенно в области безопасности файлов cookie, предоставляют исследователям безопасности возможности для сбора разведывательной информации об операциях по борьбе с киберпреступностью и личностях связанных с ними злоумышленников.
-----
Операция StealC вредоносного ПО служит ярким примером уязвимостей, которые могут существовать в инфраструктурах киберпреступников. Исследователи обнаружили уязвимость XSS (межсайтовый скриптинг), которую можно использовать в панели управления StealC как сервис (MaaS). Конкретные технические подробности уязвимости не разглашаются, чтобы предотвратить помощь разработчикам StealC в исправлении дефекта или предоставление возможности потенциальным имитаторам.
В период с 2025 по 2026 год Вредоносные Кампании StealC приобрели дурную славу из-за использования уникальных идентификаторов сборки, связанных с аккаунтами YouTube, такими как YouTube, YouTube2 и YouTubeNew. Это привело к приписыванию этих кампаний злоумышленнику, получившему название YouTubeTA, что свидетельствует о нацеленных усилиях по использованию популярности и охвата YouTube.
Анализ панели StealC показывает, что оператор YouTubeTA, скорее всего, является одним человеком, которого можно идентифицировать благодаря управлению пользователями панели, в которой отображается только одна активная учетная запись администратора. Такое ограниченное использование функции создания пользователей панели указывает на недостаток практик оперативной безопасности (OPSEC) среди киберпреступников, отражая более широкую тенденцию к хрупкости моделей MaaS.
Зависимость от сторонних разработчиков ставит киберпреступников в такое же опасное положение в отношении рисков, связанных с Цепочкой поставок, как и законный бизнес. Слабые места, очевидные в инфраструктуре StealC's, особенно в области безопасности файлов cookie и общего качества кода панели, предоставляют исследователям безопасности и правоохранительным органам возможность собирать данные о развертывании вредоносного ПО и потенциально выявлять личности других подобных злоумышленников. Используя эти недостатки, можно было бы получить более глубокое представление об организованных операциях по борьбе с киберпреступностью, выявив уязвимости, лежащие в основе их деятельности. Уроки, извлеченные из дела StealC, подчеркивают хрупкое равновесие в экосистеме киберпреступности, где одно и то же поспешное построение, обеспечивающее быстрое развертывание, может также привести к ее краху.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Операция StealC вредоносного ПО выявляет значительные уязвимости в инфраструктурах киберпреступников, в частности уязвимость XSS, которую можно использовать в панели управления как сервис. Кампании, приписываемые злоумышленнику "YouTubeTA", использовали уникальные идентификаторы сборки, связанные с аккаунтами YouTube в период с 2025 по 2026 год, что свидетельствует об ограниченных методах обеспечения операционной безопасности. Слабые места в инфраструктуре StealC's, особенно в области безопасности файлов cookie, предоставляют исследователям безопасности возможности для сбора разведывательной информации об операциях по борьбе с киберпреступностью и личностях связанных с ними злоумышленников.
-----
Операция StealC вредоносного ПО служит ярким примером уязвимостей, которые могут существовать в инфраструктурах киберпреступников. Исследователи обнаружили уязвимость XSS (межсайтовый скриптинг), которую можно использовать в панели управления StealC как сервис (MaaS). Конкретные технические подробности уязвимости не разглашаются, чтобы предотвратить помощь разработчикам StealC в исправлении дефекта или предоставление возможности потенциальным имитаторам.
В период с 2025 по 2026 год Вредоносные Кампании StealC приобрели дурную славу из-за использования уникальных идентификаторов сборки, связанных с аккаунтами YouTube, такими как YouTube, YouTube2 и YouTubeNew. Это привело к приписыванию этих кампаний злоумышленнику, получившему название YouTubeTA, что свидетельствует о нацеленных усилиях по использованию популярности и охвата YouTube.
Анализ панели StealC показывает, что оператор YouTubeTA, скорее всего, является одним человеком, которого можно идентифицировать благодаря управлению пользователями панели, в которой отображается только одна активная учетная запись администратора. Такое ограниченное использование функции создания пользователей панели указывает на недостаток практик оперативной безопасности (OPSEC) среди киберпреступников, отражая более широкую тенденцию к хрупкости моделей MaaS.
Зависимость от сторонних разработчиков ставит киберпреступников в такое же опасное положение в отношении рисков, связанных с Цепочкой поставок, как и законный бизнес. Слабые места, очевидные в инфраструктуре StealC's, особенно в области безопасности файлов cookie и общего качества кода панели, предоставляют исследователям безопасности и правоохранительным органам возможность собирать данные о развертывании вредоносного ПО и потенциально выявлять личности других подобных злоумышленников. Используя эти недостатки, можно было бы получить более глубокое представление об организованных операциях по борьбе с киберпреступностью, выявив уязвимости, лежащие в основе их деятельности. Уроки, извлеченные из дела StealC, подчеркивают хрупкое равновесие в экосистеме киберпреступности, где одно и то же поспешное построение, обеспечивающее быстрое развертывание, может также привести к ее краху.
#ParsedReport #CompletenessLow
17-01-2026
New ClickFix tool is spreading malware via fake error pop-ups
https://moonlock.com/clickfix-tool-fake-error-popups
Report completeness: Low
Threats:
Clickfix_technique
Errtraffic
Victims:
Consumers, Macos users
Geo:
Japan, Italy, Australia, Spain, Brazil, Netherlands, France, Germany, Canada
ChatGPT TTPs:
T1059.007, T1189, T1204, T1204.002, T1553.001, T1562.001, T1566.002
Soft:
macOS, ChatGPT, Android, Linux, Chrome, Firefox, Opera, Gatekeeper
Platforms:
apple
17-01-2026
New ClickFix tool is spreading malware via fake error pop-ups
https://moonlock.com/clickfix-tool-fake-error-popups
Report completeness: Low
Threats:
Clickfix_technique
Errtraffic
Victims:
Consumers, Macos users
Geo:
Japan, Italy, Australia, Spain, Brazil, Netherlands, France, Germany, Canada
ChatGPT TTPs:
do not use without manual checkT1059.007, T1189, T1204, T1204.002, T1553.001, T1562.001, T1566.002
Soft:
macOS, ChatGPT, Android, Linux, Chrome, Firefox, Opera, Gatekeeper
Platforms:
apple
Moonlock
New automated ClickFix tool is targeting Macs
"ErrTraffic" is spreading malware via fake error pop-ups.
CTT Report Hub
#ParsedReport #CompletenessLow 17-01-2026 New ClickFix tool is spreading malware via fake error pop-ups https://moonlock.com/clickfix-tool-fake-error-popups Report completeness: Low Threats: Clickfix_technique Errtraffic Victims: Consumers, Macos users…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Инструмент ErrTraffic - это автоматизированная система распространения вредоносного ПО, которая использует вводящие в заблуждение всплывающие окна с ошибками, чтобы обманом заставить пользователей загружать вредоносное ПО. Работая в нескольких веб-браузерах, он в первую очередь ориентирован на macOS, оказывая меньшее воздействие на iOS. ErrTraffic использует уязвимости в функциях безопасности macOS, таких как Gatekeeper и Прозрачность, согласие и контроль (TCC), подчеркивая опасения по поводу эффективности существующих мер безопасности.
-----
Инструмент ErrTraffic, недавно идентифицированная автоматизированная система распространения вредоносного ПО, демонстрирует переход в тактике киберпреступников от ручного кодирования к упрощенным автоматизированным процессам. Этот инструмент рекламируется на форумах киберпреступников и предназначен для облегчения распространения вредоносного ПО с помощью обманчивых всплывающих окон с ошибками, имитирующих системные сбои, типичные для ранней компьютерной эры.
ErrTraffic работает, позволяя злоумышленникам вставлять короткий фрагмент встроенного кода на скомпрометированные веб-сайты. Когда пользователи посещают эти сайты, код запускает автоматический скрипт, активирующий всплывающие окна, предназначенные для того, чтобы заманить их к загрузке вредоносного ПО. Сообщалось, что инструмент работает в нескольких популярных веб-браузерах, включая Chrome, Edge, Firefox, Opera и Safari, и способен проникать в различные операционные системы, в первую очередь ориентируясь на macOS, в то время как устройства iOS на данном этапе кажутся менее уязвимыми.
Несмотря на свои текущие возможности, ErrTraffic все еще находится на ранних стадиях разработки. По мере того как разработчики совершенствуют инструмент, появляется потенциал для значительных усовершенствований, которые могли бы повысить его эффективность и адаптивность для других киберпреступников. В отчете освещаются ключевые аспекты механизма, указывая на то, как ErrTraffic может использовать уязвимости в функциях безопасности macOS, таких как Gatekeeper и Прозрачность, согласие и контроль (TCC). Это вызывает опасения по поводу адекватности встроенных мер безопасности для предотвращения подобных атак.
Чтобы снизить риски, связанные с ErrTraffic и аналогичными тактиками ClickFix, пользователям рекомендуется сохранять бдительность. Это включает в себя распознавание подозрительных подсказок, которые указывают на системные ошибки ушедшей эпохи, такие как сбои на экране или отсутствие шрифтов, и проверку любых пользовательских запросов на ввод системных паролей при загрузке файлов или программного обеспечения. Кроме того, такие инструменты, как приложение Moonlock, могут повысить безопасность macOS, обеспечивая дополнительный уровень защиты от подобных атак. Распространение схем ClickFix в Dark Web указывает на развивающуюся тенденцию к более изощренному и широкому использованию автоматизированных инструментов для распространения вредоносного ПО, что требует от пользователей постоянной осведомленности и принятия упреждающих мер для защиты своих систем.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Инструмент ErrTraffic - это автоматизированная система распространения вредоносного ПО, которая использует вводящие в заблуждение всплывающие окна с ошибками, чтобы обманом заставить пользователей загружать вредоносное ПО. Работая в нескольких веб-браузерах, он в первую очередь ориентирован на macOS, оказывая меньшее воздействие на iOS. ErrTraffic использует уязвимости в функциях безопасности macOS, таких как Gatekeeper и Прозрачность, согласие и контроль (TCC), подчеркивая опасения по поводу эффективности существующих мер безопасности.
-----
Инструмент ErrTraffic, недавно идентифицированная автоматизированная система распространения вредоносного ПО, демонстрирует переход в тактике киберпреступников от ручного кодирования к упрощенным автоматизированным процессам. Этот инструмент рекламируется на форумах киберпреступников и предназначен для облегчения распространения вредоносного ПО с помощью обманчивых всплывающих окон с ошибками, имитирующих системные сбои, типичные для ранней компьютерной эры.
ErrTraffic работает, позволяя злоумышленникам вставлять короткий фрагмент встроенного кода на скомпрометированные веб-сайты. Когда пользователи посещают эти сайты, код запускает автоматический скрипт, активирующий всплывающие окна, предназначенные для того, чтобы заманить их к загрузке вредоносного ПО. Сообщалось, что инструмент работает в нескольких популярных веб-браузерах, включая Chrome, Edge, Firefox, Opera и Safari, и способен проникать в различные операционные системы, в первую очередь ориентируясь на macOS, в то время как устройства iOS на данном этапе кажутся менее уязвимыми.
Несмотря на свои текущие возможности, ErrTraffic все еще находится на ранних стадиях разработки. По мере того как разработчики совершенствуют инструмент, появляется потенциал для значительных усовершенствований, которые могли бы повысить его эффективность и адаптивность для других киберпреступников. В отчете освещаются ключевые аспекты механизма, указывая на то, как ErrTraffic может использовать уязвимости в функциях безопасности macOS, таких как Gatekeeper и Прозрачность, согласие и контроль (TCC). Это вызывает опасения по поводу адекватности встроенных мер безопасности для предотвращения подобных атак.
Чтобы снизить риски, связанные с ErrTraffic и аналогичными тактиками ClickFix, пользователям рекомендуется сохранять бдительность. Это включает в себя распознавание подозрительных подсказок, которые указывают на системные ошибки ушедшей эпохи, такие как сбои на экране или отсутствие шрифтов, и проверку любых пользовательских запросов на ввод системных паролей при загрузке файлов или программного обеспечения. Кроме того, такие инструменты, как приложение Moonlock, могут повысить безопасность macOS, обеспечивая дополнительный уровень защиты от подобных атак. Распространение схем ClickFix в Dark Web указывает на развивающуюся тенденцию к более изощренному и широкому использованию автоматизированных инструментов для распространения вредоносного ПО, что требует от пользователей постоянной осведомленности и принятия упреждающих мер для защиты своих систем.
#ParsedReport #CompletenessHigh
18-01-2026
PDFSIDER Malware - Exploitation of DLL Side-Loading for AV and EDR Evasion
https://www.resecurity.com/blog/article/pdfsider-malware-exploitation-of-dll-side-loading-for-av-and-edr-evasion
Report completeness: High
Actors/Campaigns:
Red_delta
Threats:
Dll_sideloading_technique
Pdfsider
Spear-phishing_technique
Microsoft_quick_assist_tool
Lotuslite
Agent_tesla
Lumma_stealer
Vidar_stealer
Remcos_rat
Quasar_rat
Cryptbot_stealer
Formbook
Dcrat
Xworm_rat
Victims:
Fortune 100 corporation
Industry:
Government
Geo:
Venezuela
TTPs:
Tactics: 5
Technics: 6
IOCs:
Command: 2
IP: 1
File: 1
Hash: 6
Algorithms:
aes-gcm, aes-256, aes-256-gcm, md5, zip
Win API:
GlobalMemoryStatusEx, IsDebuggerPresent
18-01-2026
PDFSIDER Malware - Exploitation of DLL Side-Loading for AV and EDR Evasion
https://www.resecurity.com/blog/article/pdfsider-malware-exploitation-of-dll-side-loading-for-av-and-edr-evasion
Report completeness: High
Actors/Campaigns:
Red_delta
Threats:
Dll_sideloading_technique
Pdfsider
Spear-phishing_technique
Microsoft_quick_assist_tool
Lotuslite
Agent_tesla
Lumma_stealer
Vidar_stealer
Remcos_rat
Quasar_rat
Cryptbot_stealer
Formbook
Dcrat
Xworm_rat
Victims:
Fortune 100 corporation
Industry:
Government
Geo:
Venezuela
TTPs:
Tactics: 5
Technics: 6
IOCs:
Command: 2
IP: 1
File: 1
Hash: 6
Algorithms:
aes-gcm, aes-256, aes-256-gcm, md5, zip
Win API:
GlobalMemoryStatusEx, IsDebuggerPresent
Resecurity
Resecurity | PDFSIDER Malware - Exploitation of DLL Side-Loading for AV and EDR Evasion
CTT Report Hub
#ParsedReport #CompletenessHigh 18-01-2026 PDFSIDER Malware - Exploitation of DLL Side-Loading for AV and EDR Evasion https://www.resecurity.com/blog/article/pdfsider-malware-exploitation-of-dll-side-loading-for-av-and-edr-evasion Report completeness: High…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
PDFSIDER - это вариант вредоносного ПО, который использует DLL side-loading с помощью поддельного cryptbase.dll создать бэкдор с зашифрованными возможностями C2, эффективно обходящий системы AV и EDR. Он распространяется через электронные письма с Целевым фишингом, содержащие ZIP-файл с законным EXE-файлом, замаскированным под "Приложение PDF24", используя Выполнение с участием пользователя для первоначального доступа. Вредоносное ПО безопасно обменивается данными, используя пользовательское шифрование Winsock и AES-GCM, а также применяя различные методы обхода для поддержания своего присутствия и сбора системной информации.
-----
PDFSIDER - это недавно идентифицированный вариант вредоносного ПО, который использует методы DLL Side-loading для выполнения бэкдора с зашифрованными функциями управления (C2), избегая обнаружения антивирусными системами (AV) и системами обнаружения конечных точек и реагирования (EDR). Вредоносное ПО использует поддельную версию законного cryptbase.dll для достижения такой скрытности во время развертывания.
Метод распространения PDFSIDER включает в себя Целевой фишинг электронных писем, которые побуждают жертв загрузить ZIP-файл, содержащий законный EXE-файл, Маскировку под "PDF24 App". Это программное обеспечение, называемое PDF24 Creator, является известным приложением, разработанным Miron Geek Software GmbH, которое может создавать и конвертировать файлы в формат PDF..
Что касается методов атаки, вредоносное ПО PDFSIDER можно проанализировать с помощью платформы MITRE ATT&CK. Он устанавливает первоначальный доступ через DLL side-loading (T1574.002) путем перехвата законного cryptbase.dll , требующий Выполнения с участием пользователя для запуска родительского исполняемого файла, который загружает вредоносную библиотеку DLL (T1204). Процесс выполнения включает в себя скрытые команды, выполняемые через Командную оболочку Windows (T1059.003). Чтобы сохранить свое присутствие и избежать обнаружения, PDFSIDER использует тактику виртуализации и Обхода песочницы (T1497), проверяет наличие сред отладки (T1622) и собирает системную информацию, такую как имя пользователя и название компьютера (T1082).
Связь C2 для PDFSIDER отличается использованием пользовательских реализаций Winsock и шифрования AES-GCM (T1095), что позволяет безопасно фильтровать данные по каналу C2 (T1041). Кроме того, вредоносное ПО использует собственные Win32 API для управления процессами (T1106), что повышает его оперативную скрытность.
Важность вредоносного ПО PDFSIDER выявилась в ходе расследования после попытки сетевого вторжения в корпорацию из списка Fortune 100. Злоумышленник маскировался под службу технической поддержки и использовал тактику социальной инженерии, в частности, используя инструменты удаленной помощи, такие как QuickAssist, чтобы попытаться получить несанкционированный доступ к корпоративным конечным точкам. Это подчеркивает потенциальную угрозу вредоносного ПО для хорошо защищенных сред и подчеркивает важность осведомленности пользователей и надлежащих протоколов безопасности против таких изощренных попыток проникновения.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
PDFSIDER - это вариант вредоносного ПО, который использует DLL side-loading с помощью поддельного cryptbase.dll создать бэкдор с зашифрованными возможностями C2, эффективно обходящий системы AV и EDR. Он распространяется через электронные письма с Целевым фишингом, содержащие ZIP-файл с законным EXE-файлом, замаскированным под "Приложение PDF24", используя Выполнение с участием пользователя для первоначального доступа. Вредоносное ПО безопасно обменивается данными, используя пользовательское шифрование Winsock и AES-GCM, а также применяя различные методы обхода для поддержания своего присутствия и сбора системной информации.
-----
PDFSIDER - это недавно идентифицированный вариант вредоносного ПО, который использует методы DLL Side-loading для выполнения бэкдора с зашифрованными функциями управления (C2), избегая обнаружения антивирусными системами (AV) и системами обнаружения конечных точек и реагирования (EDR). Вредоносное ПО использует поддельную версию законного cryptbase.dll для достижения такой скрытности во время развертывания.
Метод распространения PDFSIDER включает в себя Целевой фишинг электронных писем, которые побуждают жертв загрузить ZIP-файл, содержащий законный EXE-файл, Маскировку под "PDF24 App". Это программное обеспечение, называемое PDF24 Creator, является известным приложением, разработанным Miron Geek Software GmbH, которое может создавать и конвертировать файлы в формат PDF..
Что касается методов атаки, вредоносное ПО PDFSIDER можно проанализировать с помощью платформы MITRE ATT&CK. Он устанавливает первоначальный доступ через DLL side-loading (T1574.002) путем перехвата законного cryptbase.dll , требующий Выполнения с участием пользователя для запуска родительского исполняемого файла, который загружает вредоносную библиотеку DLL (T1204). Процесс выполнения включает в себя скрытые команды, выполняемые через Командную оболочку Windows (T1059.003). Чтобы сохранить свое присутствие и избежать обнаружения, PDFSIDER использует тактику виртуализации и Обхода песочницы (T1497), проверяет наличие сред отладки (T1622) и собирает системную информацию, такую как имя пользователя и название компьютера (T1082).
Связь C2 для PDFSIDER отличается использованием пользовательских реализаций Winsock и шифрования AES-GCM (T1095), что позволяет безопасно фильтровать данные по каналу C2 (T1041). Кроме того, вредоносное ПО использует собственные Win32 API для управления процессами (T1106), что повышает его оперативную скрытность.
Важность вредоносного ПО PDFSIDER выявилась в ходе расследования после попытки сетевого вторжения в корпорацию из списка Fortune 100. Злоумышленник маскировался под службу технической поддержки и использовал тактику социальной инженерии, в частности, используя инструменты удаленной помощи, такие как QuickAssist, чтобы попытаться получить несанкционированный доступ к корпоративным конечным точкам. Это подчеркивает потенциальную угрозу вредоносного ПО для хорошо защищенных сред и подчеркивает важность осведомленности пользователей и надлежащих протоколов безопасности против таких изощренных попыток проникновения.
#ParsedReport #CompletenessMedium
17-01-2026
VoidLink threat analysis: Sysdig discovers C2-compiled kernel rootkits
https://www.sysdig.com/blog/voidlink-threat-analysis-sysdig-discovers-c2-compiled-kernel-rootkits
Report completeness: Medium
Threats:
Voidlink
Krasue
Drovorub
Diamorphine_rootkit
Bpfdoor
Dynamic_linker_hijacking_technique
Victims:
Cloud environments, Linux servers, Containers, Kubernetes environments
Geo:
Chinese, China
TTPs:
Tactics: 2
Technics: 1
ChatGPT TTPs:
T1014, T1027, T1057, T1068, T1070.003, T1083, T1095, T1105, T1106, T1219, have more...
IOCs:
File: 7
IP: 1
Soft:
Linux, aegis, Docker, Mac OS
Algorithms:
gzip, sha256, xor
Functions:
finit_module
Win Services:
SentinelAgent
Languages:
python
Platforms:
x64, intel
Links:
17-01-2026
VoidLink threat analysis: Sysdig discovers C2-compiled kernel rootkits
https://www.sysdig.com/blog/voidlink-threat-analysis-sysdig-discovers-c2-compiled-kernel-rootkits
Report completeness: Medium
Threats:
Voidlink
Krasue
Drovorub
Diamorphine_rootkit
Bpfdoor
Dynamic_linker_hijacking_technique
Victims:
Cloud environments, Linux servers, Containers, Kubernetes environments
Geo:
Chinese, China
TTPs:
Tactics: 2
Technics: 1
ChatGPT TTPs:
do not use without manual checkT1014, T1027, T1057, T1068, T1070.003, T1083, T1095, T1105, T1106, T1219, have more...
IOCs:
File: 7
IP: 1
Soft:
Linux, aegis, Docker, Mac OS
Algorithms:
gzip, sha256, xor
Functions:
finit_module
Win Services:
SentinelAgent
Languages:
python
Platforms:
x64, intel
Links:
https://github.com/draios/sysdigSysdig
VoidLink threat analysis: Sysdig discovers C2-compiled kernel rootkits | Sysdig
The Sysdig threat research team analyzes VoidLink, a Linux malware framework using C2-compiled kernel rootkits, eBPF stealth, and adaptive evasion techniques.
CTT Report Hub
#ParsedReport #CompletenessMedium 17-01-2026 VoidLink threat analysis: Sysdig discovers C2-compiled kernel rootkits https://www.sysdig.com/blog/voidlink-threat-analysis-sysdig-discovers-c2-compiled-kernel-rootkits Report completeness: Medium Threats: Voidlink…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
VoidLink - это продвинутый фреймворк для вредоносного ПО Linux из Китая, который нацелен на облачные среды с использованием многоступенчатого загрузчика, чтобы избежать обнаружения. Он использует методы без файлов и использует обфускацию XOR, одновременно применяя тактику адаптивного уклонения для обхода решений безопасности. Кроме того, в VoidLink реализован серверный подход к компиляции руткитов для сборок, специфичных для ядра, механизмы скрытности от обычных системных инструментов и плагины для экранирования контейнеров и повышения привилегий Kubernetes, повышающие его оперативную скрытность и эффективность.
-----
VoidLink - это сложный фреймворк для вредоносного ПО Linux, разработанный в Китае и предназначенный для использования в облачных средах. Его многоступенчатая архитектура загрузки умело минимизирует объем памяти на диске, чтобы избежать статического анализа, начиная с начального dropper, который маскируется под процесс kworker, подключается к серверу управления (C2), чтобы загрузить последующий этап полностью в память. На этом начальном этапе для выполнения полезных нагрузок используются методы без файлов, использующие обфускацию XOR для своего адреса C2.
Время злоумышленник за VoidLink вобрал в себя адаптивную тактику уклонения, чтобы помешать выявлению основных решений безопасности, в том числе обнаружение облаков и ответ (ОКС), конечную точку обнаружения и реагирования (EDR и), и расширенного обнаружения и реагирования (ШЛУ) инструменты. Он активно сканирует процессы безопасности, используя процесс перебора и установка зонды пути, регулируя свое поведение и сроках маяк, чтобы уменьшить вероятность обнаружения.
VoidLink способен развертывать руткит несколькими способами, в зависимости от версии ядра и характеристик среды. Примечательно, что он использует подход компиляции руткитов на стороне сервера (SRC), запрашивая сборки для конкретного ядра с сервера C2, а не встраивая модули ядра напрямую. Этот метод решает проблемы переносимости, с которыми обычно сталкиваются руткиты загружаемого модуля ядра (LKM), обеспечивая совместимость с различными заголовками ядра.
Фреймворк также использует сложные механизмы скрытности, адаптированные к различным системным инструментам. Например, при нацеливании на команду 'netstat’ она использует определенные kretprobes, в то время как для утилиты ‘ss’ она использует eBPF для перехвата связи, что отражает продвинутый уровень разработки. Кроме того, VoidLink включает в себя функции, позволяющие скрыть его присутствие — такие как отключение ссылок на модули из списка загруженных модулей ядра и использование перехватчиков для фильтрации чувствительных строк на дисплеях.
Управление VoidLink многогранно, и одним из уникальных механизмов является скрытый канал ICMP, который позволяет осуществлять связь с помощью ping-пакетов. Имплантат прослушивает определенные пакеты для выполнения команд, повышая свою устойчивость к полной потере доступа. Он также включает в себя механизм самоуничтожения, способный стирать свидетельства его присутствия и активности.
Для эффективной работы в облачных средах VoidLink включает плагины, предназначенные для экранирования контейнеров и повышения привилегий Kubernetes. Эти плагины оценивают потенциальные неправильные настройки и уязвимости, которые могут способствовать несанкционированному доступу или выполнению.
Несмотря на расширенные возможности VoidLink, его все еще можно обнаружить с помощью правил обнаружения во время выполнения, адаптированных для таких систем, как Falco и Sysdig Secure. Вредоносное ПО является сложным, что отражает значительный опыт в разработке ядра, с собственной документацией на китайском языке, которая раскрывает глубокие технические знания и навыки эксплуатации. Построенный с использованием языка программирования Zig, VoidLink использует преимущества функций безопасности памяти, низкоуровневого управления и менее узнаваемой двоичной структуры, что еще больше усложняет обнаружение и анализ.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
VoidLink - это продвинутый фреймворк для вредоносного ПО Linux из Китая, который нацелен на облачные среды с использованием многоступенчатого загрузчика, чтобы избежать обнаружения. Он использует методы без файлов и использует обфускацию XOR, одновременно применяя тактику адаптивного уклонения для обхода решений безопасности. Кроме того, в VoidLink реализован серверный подход к компиляции руткитов для сборок, специфичных для ядра, механизмы скрытности от обычных системных инструментов и плагины для экранирования контейнеров и повышения привилегий Kubernetes, повышающие его оперативную скрытность и эффективность.
-----
VoidLink - это сложный фреймворк для вредоносного ПО Linux, разработанный в Китае и предназначенный для использования в облачных средах. Его многоступенчатая архитектура загрузки умело минимизирует объем памяти на диске, чтобы избежать статического анализа, начиная с начального dropper, который маскируется под процесс kworker, подключается к серверу управления (C2), чтобы загрузить последующий этап полностью в память. На этом начальном этапе для выполнения полезных нагрузок используются методы без файлов, использующие обфускацию XOR для своего адреса C2.
Время злоумышленник за VoidLink вобрал в себя адаптивную тактику уклонения, чтобы помешать выявлению основных решений безопасности, в том числе обнаружение облаков и ответ (ОКС), конечную точку обнаружения и реагирования (EDR и), и расширенного обнаружения и реагирования (ШЛУ) инструменты. Он активно сканирует процессы безопасности, используя процесс перебора и установка зонды пути, регулируя свое поведение и сроках маяк, чтобы уменьшить вероятность обнаружения.
VoidLink способен развертывать руткит несколькими способами, в зависимости от версии ядра и характеристик среды. Примечательно, что он использует подход компиляции руткитов на стороне сервера (SRC), запрашивая сборки для конкретного ядра с сервера C2, а не встраивая модули ядра напрямую. Этот метод решает проблемы переносимости, с которыми обычно сталкиваются руткиты загружаемого модуля ядра (LKM), обеспечивая совместимость с различными заголовками ядра.
Фреймворк также использует сложные механизмы скрытности, адаптированные к различным системным инструментам. Например, при нацеливании на команду 'netstat’ она использует определенные kretprobes, в то время как для утилиты ‘ss’ она использует eBPF для перехвата связи, что отражает продвинутый уровень разработки. Кроме того, VoidLink включает в себя функции, позволяющие скрыть его присутствие — такие как отключение ссылок на модули из списка загруженных модулей ядра и использование перехватчиков для фильтрации чувствительных строк на дисплеях.
Управление VoidLink многогранно, и одним из уникальных механизмов является скрытый канал ICMP, который позволяет осуществлять связь с помощью ping-пакетов. Имплантат прослушивает определенные пакеты для выполнения команд, повышая свою устойчивость к полной потере доступа. Он также включает в себя механизм самоуничтожения, способный стирать свидетельства его присутствия и активности.
Для эффективной работы в облачных средах VoidLink включает плагины, предназначенные для экранирования контейнеров и повышения привилегий Kubernetes. Эти плагины оценивают потенциальные неправильные настройки и уязвимости, которые могут способствовать несанкционированному доступу или выполнению.
Несмотря на расширенные возможности VoidLink, его все еще можно обнаружить с помощью правил обнаружения во время выполнения, адаптированных для таких систем, как Falco и Sysdig Secure. Вредоносное ПО является сложным, что отражает значительный опыт в разработке ядра, с собственной документацией на китайском языке, которая раскрывает глубокие технические знания и навыки эксплуатации. Построенный с использованием языка программирования Zig, VoidLink использует преимущества функций безопасности памяти, низкоуровневого управления и менее узнаваемой двоичной структуры, что еще больше усложняет обнаружение и анализ.
#ParsedReport #CompletenessHigh
18-01-2026
Operation Poseidon: Spear-Phishing Attacks Abusing Google Ads Redirection Mechanisms
https://www.genians.co.kr/en/blog/threat_intelligence/spear-phishing
Report completeness: High
Actors/Campaigns:
Poseidon
Scarcruft
Kimsuky
Threats:
Spear-phishing_technique
Endrat
Autoitrat
Victims:
Financial sector, Non profit organizations, Wordpress website operators
Industry:
Ngo, Financial
Geo:
Korean, Asia, Korea, Vietnamese, Japan, North korean
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1027, T1036, T1059.003, T1071.001, T1102, T1105, T1204, T1204.001, T1204.002, T1566.001, have more...
IOCs:
Path: 1
Url: 3
File: 4
Domain: 17
Hash: 14
IP: 4
Soft:
WordPress, PHPMailer
Algorithms:
base64, zip, md5
Languages:
php, autoit, powershell
18-01-2026
Operation Poseidon: Spear-Phishing Attacks Abusing Google Ads Redirection Mechanisms
https://www.genians.co.kr/en/blog/threat_intelligence/spear-phishing
Report completeness: High
Actors/Campaigns:
Poseidon
Scarcruft
Kimsuky
Threats:
Spear-phishing_technique
Endrat
Autoitrat
Victims:
Financial sector, Non profit organizations, Wordpress website operators
Industry:
Ngo, Financial
Geo:
Korean, Asia, Korea, Vietnamese, Japan, North korean
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1036, T1059.003, T1071.001, T1102, T1105, T1204, T1204.001, T1204.002, T1566.001, have more...
IOCs:
Path: 1
Url: 3
File: 4
Domain: 17
Hash: 14
IP: 4
Soft:
WordPress, PHPMailer
Algorithms:
base64, zip, md5
Languages:
php, autoit, powershell
www.genians.co.kr
Operation Poseidon: Spear-Phishing Attacks Abusing Google Ads Redirection Mechanisms
Konni APT group conducted a spear phishing attack by exploiting the redirection URL structure of the domain used for Google ad click tracking.