#ParsedReport #CompletenessMedium
16-01-2026

Remcos RAT is distributing to domestic users

https://asec.ahnlab.com/ko/92135/

Report completeness: Medium

Threats:
Remcos_rat
Clipbanker
Passview_tool

Victims:
Domestic users, Illegal gambling site operators, Ordinary users

Industry:
Entertainment

Geo:
Korean, Korea

ChatGPT TTPs:
do not use without manual check
T1027, T1027.013, T1036, T1055, T1056.001, T1059.001, T1059.005, T1113, T1123, T1125, have more...

IOCs:
File: 9
Path: 3
IP: 3

Soft:
VeraCrypt, Telegram, Discord

Algorithms:
base64, md5

Languages:
dotnet, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Троянец удаленного доступа Remcos (RAT) активно распространяется в Южной Корее, в основном нацеливаясь на пользователей посредством замаскированной установки таких программ, как VeraCrypt, и ссылок с нелегальных сайтов азартных игр. Это вредоносное ПО использует дроппер, который генерирует скрипты VBS для облегчения дальнейшего выполнения вредоносного ПО, используя методы запутывания, такие как ложные типы файлов и вводящие в заблуждение комментарии. Remcos RAT обеспечивает широкое дистанционное управление, включая выполнение команд, кражу информации и управление файлами и процессами, что создает значительный риск для конфиденциальных пользовательских данных.
-----

Центр разведки безопасности AhnLab подтвердил недавнее распространение троянца удаленного доступа Remcos (RAT), который, в частности, нацелен на внутренних пользователей в Южной Корее. Точный источник распространения остается неизвестным. Однако есть подозрения, что вредоносное ПО поставляется в комплекте с программами, выдающими себя за установочные файлы VeraCrypt или связанными с нелегальными веб-сайтами азартных игр.

Сообщается, что вредоносное ПО включает компонент dropper; оно идентифицируется как программа, потенциально функционирующая как инструмент поиска в базе данных под видом установщика VeraCrypt. Во время выполнения он генерирует два скрипта вредоносного ПО VBS, которые идентифицируются случайными именами и хранятся в каталоге %TEMP%. Функциональность, связанная с этим дроппером, может привести к последующим этапам выполнения вредоносного ПО.

Стратегия атаки использует несколько уровней запутывания с помощью скриптов VBS и PowerShell, предназначенных для загрузки и внедрения Remcos RAT. Эти скрипты часто содержат вводящие в заблуждение комментарии и фиктивные данные, чтобы скрыть их истинное назначение. Кроме того, в отчете указывается, что один вариант маскируется под файл JPG, в то время как на самом деле он содержит переносимый исполняемый файл в кодировке Base64 (PE), скрытый за определенными разделителями.

Сам Remcos RAT продается для законной удаленной поддержки, но активно используется злоумышленниками акторами из-за его обширных возможностей удаленного управления. Это позволяет злоумышленникам выполнять команды, управлять файлами и процессами, а также осуществлять кражу информации с помощью таких функций, как Регистрация нажатий клавиш, захват скриншотов, управление веб-камерами и микрофонами и извлечение учетных данных веб-браузера.

В настоящее время, по-видимому, основными целями являются операторы и пользователи нелегальных сайтов азартных игр; однако наличие другого вредоносного ПО, Маскировки под VeraCrypt, позволяет предположить, что обычные пользователи также могут непреднамеренно стать жертвами. Таким образом, пользователи, зараженные Remcos RAT, подвергаются высокому риску кражи их конфиденциальной информации, учитывая надежные возможности вредоносного ПО для эксфильтрации данных и контроля над скомпрометированными системами.

#ParsedReport #CompletenessLow
17-01-2026

UNO reverse card: stealing cookies from cookie stealers

https://www.cyberark.com/resources/threat-research-blog/uno-reverse-card-stealing-cookies-from-cookie-stealers

Report completeness: Low

Threats:
Stealc
Clickfix_technique

Victims:
Youtube accounts

Industry:
Telco, Media

Geo:
Russian, Italian, Kazakhstan, Ukrainian, Russia, Asian

ChatGPT TTPs:
do not use without manual check
T1059.007, T1189, T1190

Soft:
Twitter, Photoshop

Languages:
javascript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция StealC вредоносного ПО выявляет значительные уязвимости в инфраструктурах киберпреступников, в частности уязвимость XSS, которую можно использовать в панели управления как сервис. Кампании, приписываемые злоумышленнику "YouTubeTA", использовали уникальные идентификаторы сборки, связанные с аккаунтами YouTube в период с 2025 по 2026 год, что свидетельствует об ограниченных методах обеспечения операционной безопасности. Слабые места в инфраструктуре StealC's, особенно в области безопасности файлов cookie, предоставляют исследователям безопасности возможности для сбора разведывательной информации об операциях по борьбе с киберпреступностью и личностях связанных с ними злоумышленников.
-----

Операция StealC вредоносного ПО служит ярким примером уязвимостей, которые могут существовать в инфраструктурах киберпреступников. Исследователи обнаружили уязвимость XSS (межсайтовый скриптинг), которую можно использовать в панели управления StealC как сервис (MaaS). Конкретные технические подробности уязвимости не разглашаются, чтобы предотвратить помощь разработчикам StealC в исправлении дефекта или предоставление возможности потенциальным имитаторам.

В период с 2025 по 2026 год Вредоносные Кампании StealC приобрели дурную славу из-за использования уникальных идентификаторов сборки, связанных с аккаунтами YouTube, такими как YouTube, YouTube2 и YouTubeNew. Это привело к приписыванию этих кампаний злоумышленнику, получившему название YouTubeTA, что свидетельствует о нацеленных усилиях по использованию популярности и охвата YouTube.

Анализ панели StealC показывает, что оператор YouTubeTA, скорее всего, является одним человеком, которого можно идентифицировать благодаря управлению пользователями панели, в которой отображается только одна активная учетная запись администратора. Такое ограниченное использование функции создания пользователей панели указывает на недостаток практик оперативной безопасности (OPSEC) среди киберпреступников, отражая более широкую тенденцию к хрупкости моделей MaaS.

Зависимость от сторонних разработчиков ставит киберпреступников в такое же опасное положение в отношении рисков, связанных с Цепочкой поставок, как и законный бизнес. Слабые места, очевидные в инфраструктуре StealC's, особенно в области безопасности файлов cookie и общего качества кода панели, предоставляют исследователям безопасности и правоохранительным органам возможность собирать данные о развертывании вредоносного ПО и потенциально выявлять личности других подобных злоумышленников. Используя эти недостатки, можно было бы получить более глубокое представление об организованных операциях по борьбе с киберпреступностью, выявив уязвимости, лежащие в основе их деятельности. Уроки, извлеченные из дела StealC, подчеркивают хрупкое равновесие в экосистеме киберпреступности, где одно и то же поспешное построение, обеспечивающее быстрое развертывание, может также привести к ее краху.

#ParsedReport #CompletenessLow
17-01-2026

New ClickFix tool is spreading malware via fake error pop-ups

https://moonlock.com/clickfix-tool-fake-error-popups

Report completeness: Low

Threats:
Clickfix_technique
Errtraffic

Victims:
Consumers, Macos users

Geo:
Japan, Italy, Australia, Spain, Brazil, Netherlands, France, Germany, Canada

ChatGPT TTPs:
do not use without manual check
T1059.007, T1189, T1204, T1204.002, T1553.001, T1562.001, T1566.002

Soft:
macOS, ChatGPT, Android, Linux, Chrome, Firefox, Opera, Gatekeeper

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Инструмент ErrTraffic - это автоматизированная система распространения вредоносного ПО, которая использует вводящие в заблуждение всплывающие окна с ошибками, чтобы обманом заставить пользователей загружать вредоносное ПО. Работая в нескольких веб-браузерах, он в первую очередь ориентирован на macOS, оказывая меньшее воздействие на iOS. ErrTraffic использует уязвимости в функциях безопасности macOS, таких как Gatekeeper и Прозрачность, согласие и контроль (TCC), подчеркивая опасения по поводу эффективности существующих мер безопасности.
-----

Инструмент ErrTraffic, недавно идентифицированная автоматизированная система распространения вредоносного ПО, демонстрирует переход в тактике киберпреступников от ручного кодирования к упрощенным автоматизированным процессам. Этот инструмент рекламируется на форумах киберпреступников и предназначен для облегчения распространения вредоносного ПО с помощью обманчивых всплывающих окон с ошибками, имитирующих системные сбои, типичные для ранней компьютерной эры.

ErrTraffic работает, позволяя злоумышленникам вставлять короткий фрагмент встроенного кода на скомпрометированные веб-сайты. Когда пользователи посещают эти сайты, код запускает автоматический скрипт, активирующий всплывающие окна, предназначенные для того, чтобы заманить их к загрузке вредоносного ПО. Сообщалось, что инструмент работает в нескольких популярных веб-браузерах, включая Chrome, Edge, Firefox, Opera и Safari, и способен проникать в различные операционные системы, в первую очередь ориентируясь на macOS, в то время как устройства iOS на данном этапе кажутся менее уязвимыми.

Несмотря на свои текущие возможности, ErrTraffic все еще находится на ранних стадиях разработки. По мере того как разработчики совершенствуют инструмент, появляется потенциал для значительных усовершенствований, которые могли бы повысить его эффективность и адаптивность для других киберпреступников. В отчете освещаются ключевые аспекты механизма, указывая на то, как ErrTraffic может использовать уязвимости в функциях безопасности macOS, таких как Gatekeeper и Прозрачность, согласие и контроль (TCC). Это вызывает опасения по поводу адекватности встроенных мер безопасности для предотвращения подобных атак.

Чтобы снизить риски, связанные с ErrTraffic и аналогичными тактиками ClickFix, пользователям рекомендуется сохранять бдительность. Это включает в себя распознавание подозрительных подсказок, которые указывают на системные ошибки ушедшей эпохи, такие как сбои на экране или отсутствие шрифтов, и проверку любых пользовательских запросов на ввод системных паролей при загрузке файлов или программного обеспечения. Кроме того, такие инструменты, как приложение Moonlock, могут повысить безопасность macOS, обеспечивая дополнительный уровень защиты от подобных атак. Распространение схем ClickFix в Dark Web указывает на развивающуюся тенденцию к более изощренному и широкому использованию автоматизированных инструментов для распространения вредоносного ПО, что требует от пользователей постоянной осведомленности и принятия упреждающих мер для защиты своих систем.

#ParsedReport #CompletenessHigh
18-01-2026

PDFSIDER Malware - Exploitation of DLL Side-Loading for AV and EDR Evasion

https://www.resecurity.com/blog/article/pdfsider-malware-exploitation-of-dll-side-loading-for-av-and-edr-evasion

Report completeness: High

Actors/Campaigns:
Red_delta

Threats:
Dll_sideloading_technique
Pdfsider
Spear-phishing_technique
Microsoft_quick_assist_tool
Lotuslite
Agent_tesla
Lumma_stealer
Vidar_stealer
Remcos_rat
Quasar_rat
Cryptbot_stealer
Formbook
Dcrat
Xworm_rat

Victims:
Fortune 100 corporation

Industry:
Government

Geo:
Venezuela

TTPs:
Tactics: 5
Technics: 6

IOCs:
Command: 2
IP: 1
File: 1
Hash: 6

Algorithms:
aes-gcm, aes-256, aes-256-gcm, md5, zip

Win API:
GlobalMemoryStatusEx, IsDebuggerPresent

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, schema: 1, code: 3, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PDFSIDER - это вариант вредоносного ПО, который использует DLL side-loading с помощью поддельного cryptbase.dll создать бэкдор с зашифрованными возможностями C2, эффективно обходящий системы AV и EDR. Он распространяется через электронные письма с Целевым фишингом, содержащие ZIP-файл с законным EXE-файлом, замаскированным под "Приложение PDF24", используя Выполнение с участием пользователя для первоначального доступа. Вредоносное ПО безопасно обменивается данными, используя пользовательское шифрование Winsock и AES-GCM, а также применяя различные методы обхода для поддержания своего присутствия и сбора системной информации.
-----

PDFSIDER - это недавно идентифицированный вариант вредоносного ПО, который использует методы DLL Side-loading для выполнения бэкдора с зашифрованными функциями управления (C2), избегая обнаружения антивирусными системами (AV) и системами обнаружения конечных точек и реагирования (EDR). Вредоносное ПО использует поддельную версию законного cryptbase.dll для достижения такой скрытности во время развертывания.

Метод распространения PDFSIDER включает в себя Целевой фишинг электронных писем, которые побуждают жертв загрузить ZIP-файл, содержащий законный EXE-файл, Маскировку под "PDF24 App". Это программное обеспечение, называемое PDF24 Creator, является известным приложением, разработанным Miron Geek Software GmbH, которое может создавать и конвертировать файлы в формат PDF..

Что касается методов атаки, вредоносное ПО PDFSIDER можно проанализировать с помощью платформы MITRE ATT&CK. Он устанавливает первоначальный доступ через DLL side-loading (T1574.002) путем перехвата законного cryptbase.dll , требующий Выполнения с участием пользователя для запуска родительского исполняемого файла, который загружает вредоносную библиотеку DLL (T1204). Процесс выполнения включает в себя скрытые команды, выполняемые через Командную оболочку Windows (T1059.003). Чтобы сохранить свое присутствие и избежать обнаружения, PDFSIDER использует тактику виртуализации и Обхода песочницы (T1497), проверяет наличие сред отладки (T1622) и собирает системную информацию, такую как имя пользователя и название компьютера (T1082).

Связь C2 для PDFSIDER отличается использованием пользовательских реализаций Winsock и шифрования AES-GCM (T1095), что позволяет безопасно фильтровать данные по каналу C2 (T1041). Кроме того, вредоносное ПО использует собственные Win32 API для управления процессами (T1106), что повышает его оперативную скрытность.

Важность вредоносного ПО PDFSIDER выявилась в ходе расследования после попытки сетевого вторжения в корпорацию из списка Fortune 100. Злоумышленник маскировался под службу технической поддержки и использовал тактику социальной инженерии, в частности, используя инструменты удаленной помощи, такие как QuickAssist, чтобы попытаться получить несанкционированный доступ к корпоративным конечным точкам. Это подчеркивает потенциальную угрозу вредоносного ПО для хорошо защищенных сред и подчеркивает важность осведомленности пользователей и надлежащих протоколов безопасности против таких изощренных попыток проникновения.

#ParsedReport #CompletenessMedium
17-01-2026

VoidLink threat analysis: Sysdig discovers C2-compiled kernel rootkits

https://www.sysdig.com/blog/voidlink-threat-analysis-sysdig-discovers-c2-compiled-kernel-rootkits

Report completeness: Medium

Threats:
Voidlink
Krasue
Drovorub
Diamorphine_rootkit
Bpfdoor
Dynamic_linker_hijacking_technique

Victims:
Cloud environments, Linux servers, Containers, Kubernetes environments

Geo:
Chinese, China

TTPs:
Tactics: 2
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1014, T1027, T1057, T1068, T1070.003, T1083, T1095, T1105, T1106, T1219, have more...

IOCs:
File: 7
IP: 1

Soft:
Linux, aegis, Docker, Mac OS

Algorithms:
gzip, sha256, xor

Functions:
finit_module

Win Services:
SentinelAgent

Languages:
python

Platforms:
x64, intel

Links:
https://github.com/draios/sysdig

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
VoidLink - это продвинутый фреймворк для вредоносного ПО Linux из Китая, который нацелен на облачные среды с использованием многоступенчатого загрузчика, чтобы избежать обнаружения. Он использует методы без файлов и использует обфускацию XOR, одновременно применяя тактику адаптивного уклонения для обхода решений безопасности. Кроме того, в VoidLink реализован серверный подход к компиляции руткитов для сборок, специфичных для ядра, механизмы скрытности от обычных системных инструментов и плагины для экранирования контейнеров и повышения привилегий Kubernetes, повышающие его оперативную скрытность и эффективность.
-----

VoidLink - это сложный фреймворк для вредоносного ПО Linux, разработанный в Китае и предназначенный для использования в облачных средах. Его многоступенчатая архитектура загрузки умело минимизирует объем памяти на диске, чтобы избежать статического анализа, начиная с начального dropper, который маскируется под процесс kworker, подключается к серверу управления (C2), чтобы загрузить последующий этап полностью в память. На этом начальном этапе для выполнения полезных нагрузок используются методы без файлов, использующие обфускацию XOR для своего адреса C2.

Время злоумышленник за VoidLink вобрал в себя адаптивную тактику уклонения, чтобы помешать выявлению основных решений безопасности, в том числе обнаружение облаков и ответ (ОКС), конечную точку обнаружения и реагирования (EDR и), и расширенного обнаружения и реагирования (ШЛУ) инструменты. Он активно сканирует процессы безопасности, используя процесс перебора и установка зонды пути, регулируя свое поведение и сроках маяк, чтобы уменьшить вероятность обнаружения.

VoidLink способен развертывать руткит несколькими способами, в зависимости от версии ядра и характеристик среды. Примечательно, что он использует подход компиляции руткитов на стороне сервера (SRC), запрашивая сборки для конкретного ядра с сервера C2, а не встраивая модули ядра напрямую. Этот метод решает проблемы переносимости, с которыми обычно сталкиваются руткиты загружаемого модуля ядра (LKM), обеспечивая совместимость с различными заголовками ядра.

Фреймворк также использует сложные механизмы скрытности, адаптированные к различным системным инструментам. Например, при нацеливании на команду 'netstat’ она использует определенные kretprobes, в то время как для утилиты ‘ss’ она использует eBPF для перехвата связи, что отражает продвинутый уровень разработки. Кроме того, VoidLink включает в себя функции, позволяющие скрыть его присутствие — такие как отключение ссылок на модули из списка загруженных модулей ядра и использование перехватчиков для фильтрации чувствительных строк на дисплеях.

Управление VoidLink многогранно, и одним из уникальных механизмов является скрытый канал ICMP, который позволяет осуществлять связь с помощью ping-пакетов. Имплантат прослушивает определенные пакеты для выполнения команд, повышая свою устойчивость к полной потере доступа. Он также включает в себя механизм самоуничтожения, способный стирать свидетельства его присутствия и активности.

Для эффективной работы в облачных средах VoidLink включает плагины, предназначенные для экранирования контейнеров и повышения привилегий Kubernetes. Эти плагины оценивают потенциальные неправильные настройки и уязвимости, которые могут способствовать несанкционированному доступу или выполнению.

Несмотря на расширенные возможности VoidLink, его все еще можно обнаружить с помощью правил обнаружения во время выполнения, адаптированных для таких систем, как Falco и Sysdig Secure. Вредоносное ПО является сложным, что отражает значительный опыт в разработке ядра, с собственной документацией на китайском языке, которая раскрывает глубокие технические знания и навыки эксплуатации. Построенный с использованием языка программирования Zig, VoidLink использует преимущества функций безопасности памяти, низкоуровневого управления и менее узнаваемой двоичной структуры, что еще больше усложняет обнаружение и анализ.

#ParsedReport #CompletenessHigh
18-01-2026

Operation Poseidon: Spear-Phishing Attacks Abusing Google Ads Redirection Mechanisms

https://www.genians.co.kr/en/blog/threat_intelligence/spear-phishing

Report completeness: High

Actors/Campaigns:
Poseidon
Scarcruft
Kimsuky

Threats:
Spear-phishing_technique
Endrat
Autoitrat

Victims:
Financial sector, Non profit organizations, Wordpress website operators

Industry:
Ngo, Financial

Geo:
Korean, Asia, Korea, Vietnamese, Japan, North korean

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059.003, T1071.001, T1102, T1105, T1204, T1204.001, T1204.002, T1566.001, have more...

IOCs:
Path: 1
Url: 3
File: 4
Domain: 17
Hash: 14
IP: 4

Soft:
WordPress, PHPMailer

Algorithms:
base64, zip, md5

Languages:
php, autoit, powershell

#ParsedReport #ExtractedSchema

Classified images:
code: 2, windows: 1, dump: 1, schema: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Operation Poseidon - это spear phishing-кампания, приписываемая APT-группировке Konni, использующей скомпрометированные сайты WordPress для распространения вредоносного ПО и инфраструктуры командования и контроля. Атака в основном включает в себя spear phishing электронные письма с вводящими в заблуждение URL-адресами, что приводит пользователей к загрузке сжатых файлов, содержащих вредоносные LNK-файлы, которые запускают вредоносное ПО EndRAT с помощью сценариев AutoIt. Konni APT демонстрирует адаптивность, используя различные тактики Имперсонации, чтобы использовать доверие пользователей и обойти механизмы обнаружения.
-----

Operation Poseidon - это spear phishing-кампания, связанная с Konni APT-группировкой, которая использует сложные методы для обхода механизмов обнаружения. Эта кампания использует неправильно настроенные веб-сайты WordPress в качестве точек распространения вредоносного ПО и инфраструктуры командования и контроля (C2). Используя эти скомпрометированные сайты, злоумышленники могут обойти традиционные меры безопасности, основанные на блокировке URL-адресов и доменов, что позволяет быстро вносить изменения в их операционную инфраструктуру.

Первоначальный доступ в рамках этой кампании преимущественно включает в себя spear phishing электронные письма, содержащие замаскированные URL-адреса загрузки, которые вводят пользователей в заблуждение и заставляют загружать сжатые архивы. Эти архивы содержат вредоносные файлы LNK, которые запускают загрузку вредоносного ПО EndRAT с помощью сценариев автоматической загрузки, замаскированных под PDF-документы. Эта тактика направлена не только на использование доверия пользователей, но и на обход фильтров безопасности. В электронных письмах с фишингом используются дополнительные методы запутывания, путем вставки большого количества бессмысленного текста в невидимые области, чтобы еще больше избежать обнаружения.

Анализ поведения злоумышленников показывает, что программа Konni APT ранее использовала различные темы, включая Имперсонацию финансовых учреждений и некоммерческих организаций, чтобы увеличить свои шансы на успех. Например, недавние атаки включали приманки, связанные с некоммерческой НПО, которая стремилась повысить осведомленность о проблемах прав человека в Северной Корее, что иллюстрирует адаптивность группы в их стратегиях Имперсонации.

Тактика, методы и процедуры (TTP), использованные в Operation Poseidon, демонстрируют сильную согласованность с предыдущими операциями Konni, подтверждая модель использования аналогичной инфраструктуры и методов для доставки вредоносного ПО. Эта корреляция имеет решающее значение для понимания закрепления и эволюции их методов атаки.

Чтобы смягчить этот тип угроз, эксперты рекомендуют усовершенствовать механизмы обнаружения, основанные на поведении, вместо того, чтобы просто блокировать домены, используемые в законной рекламе. Шлюзы безопасности и прокси-серверы должны сосредоточиться на мониторинге конечных адресов назначения в перенаправленном трафике для выявления потенциально опасных загрузок. Системы обнаружения конечных точек и реагирования на них (EDR) становятся незаменимыми в таких контекстах, поскольку они предназначены для мониторинга поведения конечных точек и обнаружения аномалий, которые могут быть пропущены методами обнаружения на основе статических сигнатур. Этот многоуровневый подход к безопасности жизненно важен для защиты от эволюционирующих методологий, используемых такими группами, как APT Konni, в таких кампаниях, как Operation Poseidon.

#ParsedReport #CompletenessLow
17-01-2026

Mamba Phishing-as-a-Service Kit: How Modern adversary-in-the-middle (AiTM) Attacks Operate

https://www.cyfirma.com/research/mamba-phishing-as-a-service-kit-how-modern-adversary-in-the-middle-aitm-attacks-operate/

Report completeness: Low

Threats:
Mamba_2fa_tool
Aitm_technique
Mamba
Credential_harvesting_technique
Spear-phishing_technique

Victims:
Cloud identity platforms, Microsoft 365 users, Multiple sectors

TTPs:
Tactics: 7
Technics: 13

Languages:
javascript