#ParsedReport #CompletenessLow
17-01-2026

UNO reverse card: stealing cookies from cookie stealers

https://www.cyberark.com/resources/threat-research-blog/uno-reverse-card-stealing-cookies-from-cookie-stealers

Report completeness: Low

Threats:
Stealc
Clickfix_technique

Victims:
Youtube accounts

Industry:
Telco, Media

Geo:
Russian, Italian, Kazakhstan, Ukrainian, Russia, Asian

ChatGPT TTPs:
do not use without manual check
T1059.007, T1189, T1190

Soft:
Twitter, Photoshop

Languages:
javascript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция StealC вредоносного ПО выявляет значительные уязвимости в инфраструктурах киберпреступников, в частности уязвимость XSS, которую можно использовать в панели управления как сервис. Кампании, приписываемые злоумышленнику "YouTubeTA", использовали уникальные идентификаторы сборки, связанные с аккаунтами YouTube в период с 2025 по 2026 год, что свидетельствует об ограниченных методах обеспечения операционной безопасности. Слабые места в инфраструктуре StealC's, особенно в области безопасности файлов cookie, предоставляют исследователям безопасности возможности для сбора разведывательной информации об операциях по борьбе с киберпреступностью и личностях связанных с ними злоумышленников.
-----

Операция StealC вредоносного ПО служит ярким примером уязвимостей, которые могут существовать в инфраструктурах киберпреступников. Исследователи обнаружили уязвимость XSS (межсайтовый скриптинг), которую можно использовать в панели управления StealC как сервис (MaaS). Конкретные технические подробности уязвимости не разглашаются, чтобы предотвратить помощь разработчикам StealC в исправлении дефекта или предоставление возможности потенциальным имитаторам.

В период с 2025 по 2026 год Вредоносные Кампании StealC приобрели дурную славу из-за использования уникальных идентификаторов сборки, связанных с аккаунтами YouTube, такими как YouTube, YouTube2 и YouTubeNew. Это привело к приписыванию этих кампаний злоумышленнику, получившему название YouTubeTA, что свидетельствует о нацеленных усилиях по использованию популярности и охвата YouTube.

Анализ панели StealC показывает, что оператор YouTubeTA, скорее всего, является одним человеком, которого можно идентифицировать благодаря управлению пользователями панели, в которой отображается только одна активная учетная запись администратора. Такое ограниченное использование функции создания пользователей панели указывает на недостаток практик оперативной безопасности (OPSEC) среди киберпреступников, отражая более широкую тенденцию к хрупкости моделей MaaS.

Зависимость от сторонних разработчиков ставит киберпреступников в такое же опасное положение в отношении рисков, связанных с Цепочкой поставок, как и законный бизнес. Слабые места, очевидные в инфраструктуре StealC's, особенно в области безопасности файлов cookie и общего качества кода панели, предоставляют исследователям безопасности и правоохранительным органам возможность собирать данные о развертывании вредоносного ПО и потенциально выявлять личности других подобных злоумышленников. Используя эти недостатки, можно было бы получить более глубокое представление об организованных операциях по борьбе с киберпреступностью, выявив уязвимости, лежащие в основе их деятельности. Уроки, извлеченные из дела StealC, подчеркивают хрупкое равновесие в экосистеме киберпреступности, где одно и то же поспешное построение, обеспечивающее быстрое развертывание, может также привести к ее краху.

#ParsedReport #CompletenessLow
17-01-2026

New ClickFix tool is spreading malware via fake error pop-ups

https://moonlock.com/clickfix-tool-fake-error-popups

Report completeness: Low

Threats:
Clickfix_technique
Errtraffic

Victims:
Consumers, Macos users

Geo:
Japan, Italy, Australia, Spain, Brazil, Netherlands, France, Germany, Canada

ChatGPT TTPs:
do not use without manual check
T1059.007, T1189, T1204, T1204.002, T1553.001, T1562.001, T1566.002

Soft:
macOS, ChatGPT, Android, Linux, Chrome, Firefox, Opera, Gatekeeper

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Инструмент ErrTraffic - это автоматизированная система распространения вредоносного ПО, которая использует вводящие в заблуждение всплывающие окна с ошибками, чтобы обманом заставить пользователей загружать вредоносное ПО. Работая в нескольких веб-браузерах, он в первую очередь ориентирован на macOS, оказывая меньшее воздействие на iOS. ErrTraffic использует уязвимости в функциях безопасности macOS, таких как Gatekeeper и Прозрачность, согласие и контроль (TCC), подчеркивая опасения по поводу эффективности существующих мер безопасности.
-----

Инструмент ErrTraffic, недавно идентифицированная автоматизированная система распространения вредоносного ПО, демонстрирует переход в тактике киберпреступников от ручного кодирования к упрощенным автоматизированным процессам. Этот инструмент рекламируется на форумах киберпреступников и предназначен для облегчения распространения вредоносного ПО с помощью обманчивых всплывающих окон с ошибками, имитирующих системные сбои, типичные для ранней компьютерной эры.

ErrTraffic работает, позволяя злоумышленникам вставлять короткий фрагмент встроенного кода на скомпрометированные веб-сайты. Когда пользователи посещают эти сайты, код запускает автоматический скрипт, активирующий всплывающие окна, предназначенные для того, чтобы заманить их к загрузке вредоносного ПО. Сообщалось, что инструмент работает в нескольких популярных веб-браузерах, включая Chrome, Edge, Firefox, Opera и Safari, и способен проникать в различные операционные системы, в первую очередь ориентируясь на macOS, в то время как устройства iOS на данном этапе кажутся менее уязвимыми.

Несмотря на свои текущие возможности, ErrTraffic все еще находится на ранних стадиях разработки. По мере того как разработчики совершенствуют инструмент, появляется потенциал для значительных усовершенствований, которые могли бы повысить его эффективность и адаптивность для других киберпреступников. В отчете освещаются ключевые аспекты механизма, указывая на то, как ErrTraffic может использовать уязвимости в функциях безопасности macOS, таких как Gatekeeper и Прозрачность, согласие и контроль (TCC). Это вызывает опасения по поводу адекватности встроенных мер безопасности для предотвращения подобных атак.

Чтобы снизить риски, связанные с ErrTraffic и аналогичными тактиками ClickFix, пользователям рекомендуется сохранять бдительность. Это включает в себя распознавание подозрительных подсказок, которые указывают на системные ошибки ушедшей эпохи, такие как сбои на экране или отсутствие шрифтов, и проверку любых пользовательских запросов на ввод системных паролей при загрузке файлов или программного обеспечения. Кроме того, такие инструменты, как приложение Moonlock, могут повысить безопасность macOS, обеспечивая дополнительный уровень защиты от подобных атак. Распространение схем ClickFix в Dark Web указывает на развивающуюся тенденцию к более изощренному и широкому использованию автоматизированных инструментов для распространения вредоносного ПО, что требует от пользователей постоянной осведомленности и принятия упреждающих мер для защиты своих систем.

#ParsedReport #CompletenessHigh
18-01-2026

PDFSIDER Malware - Exploitation of DLL Side-Loading for AV and EDR Evasion

https://www.resecurity.com/blog/article/pdfsider-malware-exploitation-of-dll-side-loading-for-av-and-edr-evasion

Report completeness: High

Actors/Campaigns:
Red_delta

Threats:
Dll_sideloading_technique
Pdfsider
Spear-phishing_technique
Microsoft_quick_assist_tool
Lotuslite
Agent_tesla
Lumma_stealer
Vidar_stealer
Remcos_rat
Quasar_rat
Cryptbot_stealer
Formbook
Dcrat
Xworm_rat

Victims:
Fortune 100 corporation

Industry:
Government

Geo:
Venezuela

TTPs:
Tactics: 5
Technics: 6

IOCs:
Command: 2
IP: 1
File: 1
Hash: 6

Algorithms:
aes-gcm, aes-256, aes-256-gcm, md5, zip

Win API:
GlobalMemoryStatusEx, IsDebuggerPresent

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, schema: 1, code: 3, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PDFSIDER - это вариант вредоносного ПО, который использует DLL side-loading с помощью поддельного cryptbase.dll создать бэкдор с зашифрованными возможностями C2, эффективно обходящий системы AV и EDR. Он распространяется через электронные письма с Целевым фишингом, содержащие ZIP-файл с законным EXE-файлом, замаскированным под "Приложение PDF24", используя Выполнение с участием пользователя для первоначального доступа. Вредоносное ПО безопасно обменивается данными, используя пользовательское шифрование Winsock и AES-GCM, а также применяя различные методы обхода для поддержания своего присутствия и сбора системной информации.
-----

PDFSIDER - это недавно идентифицированный вариант вредоносного ПО, который использует методы DLL Side-loading для выполнения бэкдора с зашифрованными функциями управления (C2), избегая обнаружения антивирусными системами (AV) и системами обнаружения конечных точек и реагирования (EDR). Вредоносное ПО использует поддельную версию законного cryptbase.dll для достижения такой скрытности во время развертывания.

Метод распространения PDFSIDER включает в себя Целевой фишинг электронных писем, которые побуждают жертв загрузить ZIP-файл, содержащий законный EXE-файл, Маскировку под "PDF24 App". Это программное обеспечение, называемое PDF24 Creator, является известным приложением, разработанным Miron Geek Software GmbH, которое может создавать и конвертировать файлы в формат PDF..

Что касается методов атаки, вредоносное ПО PDFSIDER можно проанализировать с помощью платформы MITRE ATT&CK. Он устанавливает первоначальный доступ через DLL side-loading (T1574.002) путем перехвата законного cryptbase.dll , требующий Выполнения с участием пользователя для запуска родительского исполняемого файла, который загружает вредоносную библиотеку DLL (T1204). Процесс выполнения включает в себя скрытые команды, выполняемые через Командную оболочку Windows (T1059.003). Чтобы сохранить свое присутствие и избежать обнаружения, PDFSIDER использует тактику виртуализации и Обхода песочницы (T1497), проверяет наличие сред отладки (T1622) и собирает системную информацию, такую как имя пользователя и название компьютера (T1082).

Связь C2 для PDFSIDER отличается использованием пользовательских реализаций Winsock и шифрования AES-GCM (T1095), что позволяет безопасно фильтровать данные по каналу C2 (T1041). Кроме того, вредоносное ПО использует собственные Win32 API для управления процессами (T1106), что повышает его оперативную скрытность.

Важность вредоносного ПО PDFSIDER выявилась в ходе расследования после попытки сетевого вторжения в корпорацию из списка Fortune 100. Злоумышленник маскировался под службу технической поддержки и использовал тактику социальной инженерии, в частности, используя инструменты удаленной помощи, такие как QuickAssist, чтобы попытаться получить несанкционированный доступ к корпоративным конечным точкам. Это подчеркивает потенциальную угрозу вредоносного ПО для хорошо защищенных сред и подчеркивает важность осведомленности пользователей и надлежащих протоколов безопасности против таких изощренных попыток проникновения.

#ParsedReport #CompletenessMedium
17-01-2026

VoidLink threat analysis: Sysdig discovers C2-compiled kernel rootkits

https://www.sysdig.com/blog/voidlink-threat-analysis-sysdig-discovers-c2-compiled-kernel-rootkits

Report completeness: Medium

Threats:
Voidlink
Krasue
Drovorub
Diamorphine_rootkit
Bpfdoor
Dynamic_linker_hijacking_technique

Victims:
Cloud environments, Linux servers, Containers, Kubernetes environments

Geo:
Chinese, China

TTPs:
Tactics: 2
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1014, T1027, T1057, T1068, T1070.003, T1083, T1095, T1105, T1106, T1219, have more...

IOCs:
File: 7
IP: 1

Soft:
Linux, aegis, Docker, Mac OS

Algorithms:
gzip, sha256, xor

Functions:
finit_module

Win Services:
SentinelAgent

Languages:
python

Platforms:
x64, intel

Links:
https://github.com/draios/sysdig

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
VoidLink - это продвинутый фреймворк для вредоносного ПО Linux из Китая, который нацелен на облачные среды с использованием многоступенчатого загрузчика, чтобы избежать обнаружения. Он использует методы без файлов и использует обфускацию XOR, одновременно применяя тактику адаптивного уклонения для обхода решений безопасности. Кроме того, в VoidLink реализован серверный подход к компиляции руткитов для сборок, специфичных для ядра, механизмы скрытности от обычных системных инструментов и плагины для экранирования контейнеров и повышения привилегий Kubernetes, повышающие его оперативную скрытность и эффективность.
-----

VoidLink - это сложный фреймворк для вредоносного ПО Linux, разработанный в Китае и предназначенный для использования в облачных средах. Его многоступенчатая архитектура загрузки умело минимизирует объем памяти на диске, чтобы избежать статического анализа, начиная с начального dropper, который маскируется под процесс kworker, подключается к серверу управления (C2), чтобы загрузить последующий этап полностью в память. На этом начальном этапе для выполнения полезных нагрузок используются методы без файлов, использующие обфускацию XOR для своего адреса C2.

Время злоумышленник за VoidLink вобрал в себя адаптивную тактику уклонения, чтобы помешать выявлению основных решений безопасности, в том числе обнаружение облаков и ответ (ОКС), конечную точку обнаружения и реагирования (EDR и), и расширенного обнаружения и реагирования (ШЛУ) инструменты. Он активно сканирует процессы безопасности, используя процесс перебора и установка зонды пути, регулируя свое поведение и сроках маяк, чтобы уменьшить вероятность обнаружения.

VoidLink способен развертывать руткит несколькими способами, в зависимости от версии ядра и характеристик среды. Примечательно, что он использует подход компиляции руткитов на стороне сервера (SRC), запрашивая сборки для конкретного ядра с сервера C2, а не встраивая модули ядра напрямую. Этот метод решает проблемы переносимости, с которыми обычно сталкиваются руткиты загружаемого модуля ядра (LKM), обеспечивая совместимость с различными заголовками ядра.

Фреймворк также использует сложные механизмы скрытности, адаптированные к различным системным инструментам. Например, при нацеливании на команду 'netstat’ она использует определенные kretprobes, в то время как для утилиты ‘ss’ она использует eBPF для перехвата связи, что отражает продвинутый уровень разработки. Кроме того, VoidLink включает в себя функции, позволяющие скрыть его присутствие — такие как отключение ссылок на модули из списка загруженных модулей ядра и использование перехватчиков для фильтрации чувствительных строк на дисплеях.

Управление VoidLink многогранно, и одним из уникальных механизмов является скрытый канал ICMP, который позволяет осуществлять связь с помощью ping-пакетов. Имплантат прослушивает определенные пакеты для выполнения команд, повышая свою устойчивость к полной потере доступа. Он также включает в себя механизм самоуничтожения, способный стирать свидетельства его присутствия и активности.

Для эффективной работы в облачных средах VoidLink включает плагины, предназначенные для экранирования контейнеров и повышения привилегий Kubernetes. Эти плагины оценивают потенциальные неправильные настройки и уязвимости, которые могут способствовать несанкционированному доступу или выполнению.

Несмотря на расширенные возможности VoidLink, его все еще можно обнаружить с помощью правил обнаружения во время выполнения, адаптированных для таких систем, как Falco и Sysdig Secure. Вредоносное ПО является сложным, что отражает значительный опыт в разработке ядра, с собственной документацией на китайском языке, которая раскрывает глубокие технические знания и навыки эксплуатации. Построенный с использованием языка программирования Zig, VoidLink использует преимущества функций безопасности памяти, низкоуровневого управления и менее узнаваемой двоичной структуры, что еще больше усложняет обнаружение и анализ.

#ParsedReport #CompletenessHigh
18-01-2026

Operation Poseidon: Spear-Phishing Attacks Abusing Google Ads Redirection Mechanisms

https://www.genians.co.kr/en/blog/threat_intelligence/spear-phishing

Report completeness: High

Actors/Campaigns:
Poseidon
Scarcruft
Kimsuky

Threats:
Spear-phishing_technique
Endrat
Autoitrat

Victims:
Financial sector, Non profit organizations, Wordpress website operators

Industry:
Ngo, Financial

Geo:
Korean, Asia, Korea, Vietnamese, Japan, North korean

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059.003, T1071.001, T1102, T1105, T1204, T1204.001, T1204.002, T1566.001, have more...

IOCs:
Path: 1
Url: 3
File: 4
Domain: 17
Hash: 14
IP: 4

Soft:
WordPress, PHPMailer

Algorithms:
base64, zip, md5

Languages:
php, autoit, powershell

#ParsedReport #ExtractedSchema

Classified images:
code: 2, windows: 1, dump: 1, schema: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Operation Poseidon - это spear phishing-кампания, приписываемая APT-группировке Konni, использующей скомпрометированные сайты WordPress для распространения вредоносного ПО и инфраструктуры командования и контроля. Атака в основном включает в себя spear phishing электронные письма с вводящими в заблуждение URL-адресами, что приводит пользователей к загрузке сжатых файлов, содержащих вредоносные LNK-файлы, которые запускают вредоносное ПО EndRAT с помощью сценариев AutoIt. Konni APT демонстрирует адаптивность, используя различные тактики Имперсонации, чтобы использовать доверие пользователей и обойти механизмы обнаружения.
-----

Operation Poseidon - это spear phishing-кампания, связанная с Konni APT-группировкой, которая использует сложные методы для обхода механизмов обнаружения. Эта кампания использует неправильно настроенные веб-сайты WordPress в качестве точек распространения вредоносного ПО и инфраструктуры командования и контроля (C2). Используя эти скомпрометированные сайты, злоумышленники могут обойти традиционные меры безопасности, основанные на блокировке URL-адресов и доменов, что позволяет быстро вносить изменения в их операционную инфраструктуру.

Первоначальный доступ в рамках этой кампании преимущественно включает в себя spear phishing электронные письма, содержащие замаскированные URL-адреса загрузки, которые вводят пользователей в заблуждение и заставляют загружать сжатые архивы. Эти архивы содержат вредоносные файлы LNK, которые запускают загрузку вредоносного ПО EndRAT с помощью сценариев автоматической загрузки, замаскированных под PDF-документы. Эта тактика направлена не только на использование доверия пользователей, но и на обход фильтров безопасности. В электронных письмах с фишингом используются дополнительные методы запутывания, путем вставки большого количества бессмысленного текста в невидимые области, чтобы еще больше избежать обнаружения.

Анализ поведения злоумышленников показывает, что программа Konni APT ранее использовала различные темы, включая Имперсонацию финансовых учреждений и некоммерческих организаций, чтобы увеличить свои шансы на успех. Например, недавние атаки включали приманки, связанные с некоммерческой НПО, которая стремилась повысить осведомленность о проблемах прав человека в Северной Корее, что иллюстрирует адаптивность группы в их стратегиях Имперсонации.

Тактика, методы и процедуры (TTP), использованные в Operation Poseidon, демонстрируют сильную согласованность с предыдущими операциями Konni, подтверждая модель использования аналогичной инфраструктуры и методов для доставки вредоносного ПО. Эта корреляция имеет решающее значение для понимания закрепления и эволюции их методов атаки.

Чтобы смягчить этот тип угроз, эксперты рекомендуют усовершенствовать механизмы обнаружения, основанные на поведении, вместо того, чтобы просто блокировать домены, используемые в законной рекламе. Шлюзы безопасности и прокси-серверы должны сосредоточиться на мониторинге конечных адресов назначения в перенаправленном трафике для выявления потенциально опасных загрузок. Системы обнаружения конечных точек и реагирования на них (EDR) становятся незаменимыми в таких контекстах, поскольку они предназначены для мониторинга поведения конечных точек и обнаружения аномалий, которые могут быть пропущены методами обнаружения на основе статических сигнатур. Этот многоуровневый подход к безопасности жизненно важен для защиты от эволюционирующих методологий, используемых такими группами, как APT Konni, в таких кампаниях, как Operation Poseidon.

#ParsedReport #CompletenessLow
17-01-2026

Mamba Phishing-as-a-Service Kit: How Modern adversary-in-the-middle (AiTM) Attacks Operate

https://www.cyfirma.com/research/mamba-phishing-as-a-service-kit-how-modern-adversary-in-the-middle-aitm-attacks-operate/

Report completeness: Low

Threats:
Mamba_2fa_tool
Aitm_technique
Mamba
Credential_harvesting_technique
Spear-phishing_technique

Victims:
Cloud identity platforms, Microsoft 365 users, Multiple sectors

TTPs:
Tactics: 7
Technics: 13

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Набор Mamba phishing-as-a-service, появляющийся в 2023 году, расширяет возможности атак Злоумышленника посередине (AiTM), фокусируясь на обходе Многофакторной аутентификации (MFA) путем автоматизации и имитации законных процессов аутентификации. Его дизайн повышает эффективность работы и сводит к минимуму взаимодействие с пользователем, обеспечивая быстрый захват учетных данных и маскируя вредоносную активность под обычное поведение пользователя. Это отражает растущую тенденцию в сфере фишинга, ориентированную на облачные службы идентификации, особенно на такие платформы, как Microsoft 365, что указывает на стандартизацию методов фишинга различными злоумышленниками.
-----

Набор Mamba phishing-as-a-service представляет собой значительную эволюцию в области атак Злоумышленника посередине (AiTM), особенно в контексте растущих угроз кибербезопасности, ориентированных на облако. Mamba 2FA, появившаяся в 2023 году, означает переход от традиционных методов credential-harvesting к более сложным фреймворкам AiTM, нацеленным на обход защиты от Многофакторной аутентификации (MFA). Этот сдвиг свидетельствует о растущей тенденции в фишинге, когда злоумышленники используют автоматизацию и реалистичность для обмана пользователей и более эффективного обхода средств контроля безопасности.

Mamba основана на философии дизайна, которая подчеркивает эффективность работы и минимальное взаимодействие с пользователем. Он включает в себя передовые методы для эмуляции законных процессов аутентификации, управления пользовательскими сеансами и осуществления взаимодействия в режиме реального времени с серверными системами. Уменьшая трудности в процессе аутентификации, Mamba позволяет быстро получать учетные данные, сохраняя видимость обычной активности пользователя. Эти характеристики делают его мощным инструментом в экосистеме "фишинг как услуга", поскольку он способствует масштабируемым и повторяемым кампаниям атак, которые требуют меньших технических знаний от операторов.

Поведение при фишинге, демонстрируемое с помощью URL-адресов Mamba, согласуется с установленными шаблонами, наблюдаемыми в аналогичных фреймворках AiTM, демонстрируя такие методы, как высокоточное клонирование потоков облачной аутентификации. Эта среда усиливает угрозу, исходящую от Mamba 2FA, которая является не единичным случаем, а скорее проявлением стандартизированного подхода к разработке в рамках активного ландшафта PhaaS. Конвергенция возможностей AiTM означает, что множество акторов используют схожие методы для таргетирования облачных служб идентификации, особенно тех, которые связаны с широко используемыми платформами, такими как Microsoft 365.

По мере развития экосистемы фишинга традиционные средства защиты должны адаптироваться. Продолжающееся распространение Mamba и ее аналогов подчеркивает необходимость многоуровневого контроля безопасности идентификационных данных и способности эффективно обнаруживать аномалии аутентификации. Мониторинг более широких тенденций в экосистеме, а не сосредоточение внимания исключительно на отдельных инструментах, будет иметь важное значение для прогнозирования и выработки стратегии с учетом будущих изменений в методологиях фишинга. Ожидается, что риск, создаваемый такими платформами, как Mamba 2FA, сохранится, создавая постоянные проблемы для организаций, полагающихся на облачные службы идентификации в качестве основных векторов атак.

#technique

sliver-tor-bridge
tor-based transport bridge for sliver c2. creates a hidden service and proxies traffic to your sliver server so your real ip is never exposed.

https://github.com/Otsmane-Ahmed/sliver-tor-bridge