#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Технология доставки вредоносного PixelCode демонстрирует метод, при котором вредоносное ПО кодируется в пиксельных данных мультимедийных файлов, обеспечивая скрытую доставку и уклонение от обнаружения. Конкретная реализация включает в себя полезную нагрузку обратной оболочки Windows на C++, которая поддерживает соединение со своим сервером управления с использованием шифрования AES-CBC. Чтобы внедрить полезную нагрузку, инструмент Python преобразует исполняемый файл в пиксельный код, который затем извлекается из видео MP4 с помощью stager на Python, демонстрируя передовые методы обфускации для доставки вредоносного ПО.
-----

Технология доставки вредоносного PixelCode иллюстрирует инновационный метод кодирования исполняемых файлов в пиксельные данные, встроенные в изображения или видео. Этот подход в первую очередь направлен на демонстрацию скрытой доставки данных и тактики запутывания, которые могут быть незаконно присвоены злонамеренными акторами. Преобразуя вредоносное ПО в визуальный формат, злоумышленники могут маскировать вредоносные двоичные файлы или скрипты под безобидный мультимедийный контент, тем самым совершенствуя свои стратегии уклонения от механизмов обнаружения.

Конкретный пример этого метода включает скрытую полезную нагрузку обратной оболочки Windows, реализованную на C++. Эта полезная нагрузка предназначена для поддержания постоянного соединения с сервером управления посредством шифрования AES-CBC, использующего жестко закодированный статический ключ в сочетании со случайными векторами инициализации для безопасной связи. Он идентифицирует себя с помощью уникального идентификатора, выполняет команды с помощью cmd.exe или PowerShell, поддерживает навигацию по каталогам и потоковую передачу выходных данных команд в режиме реального времени. Важно отметить, что он работает без отображения окна консоли и способен автоматически подключаться повторно, если соединение нарушено, эффективно функционируя как троян удаленного доступа, предназначенный для контроля фазы после эксплуатации.

Для облегчения встраивания полезной нагрузки в пикселях, скомпилированный исполняемый файл обрабатывается с помощью Python-средство на основе специально созданных для преобразования двоичных данных в так называемой код пикселя. Это преобразование результатов в визуальное представление, часто в виде файла МР4, в котором двоичные данные переплетается с пиксельными значениями по видеокадрам.

Поскольку оригинал c++ полезной нагрузки не хватает необходимой мультимедийной библиотеки для декодирования кода пикселя в исполняемой форме, а Python стагер используется для этой цели. Этот Python на Python компилируется в исполняемый файл, а затем base64-кодировке, что позволяет ему быть прямо включены в основной код C++ погрузчик наряду URL-адрес с YouTube, который служит средством для поиска информации.

Как только видео в формате MP4 загружено, stager на Python обрабатывает его кадр за кадром, извлекая закодированные пиксельные данные и восстанавливая исходный исполняемый файл в памяти. Эта операция демонстрирует передовую технику обфускации и доставки вредоносного ПО, предоставляя злоумышленникам новые возможности для скрытого выполнения вредоносного кода.

#ParsedReport #CompletenessLow
22-01-2026

Resurgence of a multistage AiTM phishing and BEC campaign abusing SharePoint

https://www.microsoft.com/en-us/security/blog/2026/01/21/multistage-aitm-phishing-bec-campaign-abusing-sharepoint/

Report completeness: Low

Threats:
Aitm_technique
Bec_technique
Credential_harvesting_technique

Victims:
Energy sector organizations

Industry:
Energy, Telco

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1114, T1114.003, T1199, T1550.004, T1556.006, T1566.002

IOCs:
IP: 2

Soft:
Microsoft Defender, Microsoft SharePoint, Microsoft Entra, Microsoft Edge, Office 365, Microsoft Defender for Endpoint

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была выявлена многоступенчатая кампания фишинга и компрометации деловой электронной почты Злоумышленника посередине, нацеленная на энергетический сектор. Злоумышленники использовали службы SharePoint для доставки полезных данных фишинга и поддерживали доступ с помощью манипулированной Многофакторной аутентификации. Кампания включала скомпрометированные электронные письма, которые заманивали пользователей реалистичными URL-адресами SharePoint, что приводило к компрометации учетной записи, несмотря на такие усилия, как сброс пароля и отмена сеанса.
-----

Исследователи Microsoft Defender выявили многоступенчатую кампанию фишинга и компрометации деловой электронной почты (BEC), направленную против Злоумышленника посередине (AiTM), специально предназначенную для различных организаций энергетического сектора. Эта кампания привела к компрометации многочисленных учетных записей пользователей, использующих файлообменные службы Microsoft SharePoint для доставки полезных данных фишинга при одновременном внедрении правил "Входящие" для закрепления и для того, чтобы оставаться незамеченными пользователями. Стратегия атаки вылилась в несколько инцидентов AiTM наряду с последующими действиями BEC, что указывает на скоординированные усилия нескольких организаций.

Кампания была инициирована с помощью фишинг-письма от, по-видимому, доверенной организации, которое, вероятно, было скомпрометировано до атаки. Тактика фишинга включала URL-адрес SharePoint, требующий аутентификации пользователя, сопровождаемый строками темы, которые имитировали законные методы обмена документами SharePoint для повышения аутентичности и обмана пользователей.

Меры по предотвращению компрометации личных данных обычно включают сброс паролей пользователей. Однако в контексте атак AiTM этого недостаточно из-за характера скомпрометированных сеансов входа в систему. Даже при сбросе пароля и отмене сеанса злоумышленники могут поддерживать доступ с помощью методов закрепления, манипулируя Многофакторной аутентификацией (MFA). Например, они могут ввести новую политику MFA, которая позволяет входить в систему с помощью одноразового пароля, отправляемого на их зарегистрированное мобильное устройство. Такая тактика позволяет злоумышленникам сохранять контроль над скомпрометированными учетными записями, несмотря на стандартные меры по исправлению положения.

Учитывая сложность угроз AiTM фишинга, для их обнаружения требуются интегрированные решения, использующие сигналы из различных источников. Microsoft Defender XDR разработан таким образом, чтобы использовать свою междоменную видимость для выявления вредоносного поведения, связанного с атаками AiTM, такими как кража сеансовых файлов cookie и попытки использовать их для дальнейшего несанкционированного доступа.

Для защиты от этих угроз организациям рекомендуется внедрять Политики условного доступа в Microsoft Entra, в частности стратегии доступа, основанные на оценке рисков, которые оценивают попытки входа с помощью сигналов, основанных на идентификации, таких как IP-адрес и статус соответствия устройства. Применение политик для совместимых устройств и доверенных IP-адресов Azure может усилить защиту от кражи учетных данных. Для тех, кто оценивает условный доступ, принятие параметров безопасности по умолчанию может послужить основополагающим шагом на пути к повышению уровня безопасности личных данных. Кроме того, использование сетевой защиты с помощью Microsoft Defender для Endpoint может блокировать подключения к известным вредоносным доменам. Стратегии постоянной оценки доступа, наряду с обучением пользователей проблемам безопасного обмена файлами и рискам, связанным с электронными письмами от надежных поставщиков, также имеют решающее значение для снижения уязвимости к таким изощренным атакам фишинга.

#ParsedReport #CompletenessLow
22-01-2026

Arctic Wolf Observes Malicious Configuration Changes On Fortinet FortiGate Devices via SSO Accounts

https://arcticwolf.com/resources/blog/arctic-wolf-observes-malicious-configuration-changes-fortinet-fortigate-devices-via-sso-accounts/

Report completeness: Low

Victims:
Fortinet fortigate users, Firewall administrators, Network appliance operators

CVEs:
CVE-2025-59719 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiweb (le7.4.9, le7.6.4, 8.0.0)

CVE-2025-59718 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (<7.0.22, <7.2.15, <7.4.11, <7.6.4)
- fortinet fortiswitchmanager (<7.0.6, <7.2.7)
- fortinet fortios (<7.0.18, <7.2.12, <7.4.9, <7.6.4)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1041, T1071, T1078, T1090, T1098, T1190, T1199, T1552, T1562

IOCs:
IP: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Были замечены автоматизированные вредоносные действия, нацеленные на устройства Fortinet FortiGate, использующие недавно выявленные уязвимости в функции единого входа (SSO), в частности CVE-2025-59718 и CVE-2025-59719. Злоумышленники произвели несанкционированные изменения в конфигурациях брандмауэра, используя скомпрометированные логины единого входа, отслеживаемые различными хостинг-провайдерами, что указывает на организованные усилия по нарушению сетевой безопасности. Организациям рекомендуется просмотреть свои учетные данные брандмауэра, которые, возможно, были отфильтрованы во время этих атак.
-----

Arctic Wolf сообщила о серии автоматизированных вредоносных действий, нацеленных на устройства Fortinet FortiGate, в частности, связанных с несанкционированными изменениями конфигураций брандмауэра. Эти атаки связаны с ранее выявленными уязвимостями в функции единого входа (SSO) в Fortinet. В декабре Fortinet выпустила рекомендации с подробным описанием двух критических уязвимостей обхода аутентификации, идентифицированных как CVE-2025-59718 и CVE-2025-59719, которые, по-видимому, были использованы при этих вторжениях.

Вредоносные логины единого входа были прослежены до нескольких хостинг-провайдеров, что указывает на скоординированные усилия злоумышленников по нарушению сетевой безопасности. Организациям, обнаружившим какие-либо несанкционированные действия, следует учитывать свои учетные данные брандмауэра, которые могли быть отфильтрованы и скомпрометированы, и незамедлительно сбросить их, чтобы снизить риски.

В свете этих изменений рекомендуется, чтобы доступ к интерфейсам управления сетевыми устройствами, включая брандмауэры и VPN-шлюзы, был ограничен доверенными внутренними пользователями. Эта рекомендация вытекает из наблюдений Arctic Wolf о том, что различные кампании используют интерфейсы управления, что подчеркивает важность строгого контроля доступа как наилучшей практики.

Кроме того, Fortinet предложила обходной путь для организаций, работающих с уязвимостями CVE-2025-59718 и CVE-2025-59719. Это может помочь снизить риск, связанный со злонамеренными входами в систему через единый вход, хотя конкретные сведения об обходном пути не были приведены в обзоре. В целом, организациям, использующим устройства FortiGate, настоятельно рекомендуется усилить меры безопасности против этой возникающей угрозы.

#ParsedReport #CompletenessMedium
22-01-2026

Osiris: New Ransomware, Experienced Attackers?

https://www.security.com/threat-intelligence/new-ransomware-osiris

Report completeness: Medium

Threats:
Osiris_ransomware
Inc_ransomware
Poortry
Rustdesk_tool
Locky
Byovd_technique
Mimikatz_tool
Rclone_tool
Netscan_tool
Netexec_tool
Meshagent_tool
Abyssworker
Medusa_ransomware
Stonestop
Burntcigar

Industry:
Foodtech

Geo:
Asia

IOCs:
File: 17
Hash: 17
Domain: 2

Soft:
hyperv, curl, msexchange

Wallets:
wassabi

Algorithms:
aes-128-ctr, ecc, aes

Win Services:
GxVss, GxBlr, GxCVD, GxCIMgr

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Семейство программ-вымогателей Osiris появилось в ноябре 2025 года и было нацелено на крупного франчайзи общественного питания в Юго-Восточной Азии. Он использует типичные функции программ-вымогателей, такие как остановка службы и нацеленное шифрование файлов, в то же время используя Rclone для эксфильтрации данных в облако Wasabi. Атака демонстрирует связи с Inc ransomware group с помощью общих инструментов, таких как Mimikatz и tactics, что указывает на возможное сотрудничество или эмуляцию методов, ранее использовавшихся в операциях киберпреступников.
-----

Сообщалось о появлении нового семейства программ-вымогателей под названием Osiris, первая заметная атака которого произошла в ноябре 2025 года против крупного франчайзи-оператора общественного питания в Юго-Восточной Азии. Это программное обеспечение-вымогатель демонстрирует несколько знакомых функций, типичных для подобных атак, включая возможность останавливать службы, указывать целевые папки и расширения файлов для шифрования, завершать запущенные процессы, шифровать файлы и отправлять уведомление о выкупе.

Анализ цепочки атак показывает, что предварительные подозрительные действия были замечены до развертывания Ransomware. Osiris. В частности, Rclone использовался для фильтрации конфиденциальных данных в Wasabi bucket, легальный облачный сервис хранения. Эта тактика отражает ту, которую использовала Inc ransomware group во время атаки в октябре 2025 года, предполагая либо прямое подражание тактике, либо потенциальное сотрудничество с участием предыдущих филиалов Inc group. Дополнительное сходство возникает из-за использования инструмента Mimikatz с тем же именем файла, kaz.exe , ранее связанный с операциями Inc ransomware, что указывает на другую связь с деятельностью этой группы.

Тактика и инструменты, принятые при атаке на Osiris, подчеркивают, что акторы, стоящие за ней, кажутся закаленными и опытными, способными применять эффективные методы шифрования. Примечательно, что сочетание использования сервиса хранения Wasabi с версией Mimikatz, связанной с предыдущими инцидентами, повышает вероятность установления отношений с Inc group или ее бывшими членами. Кроме того, использование Poortry, инструмента, также связанного с группой Medusa ransomware, предполагает еще один уровень сложности и потенциальную межгрупповую принадлежность, хотя сама Poortry не ограничивается одной киберпреступной организацией.

Конечное воздействие Osiris на домен программы-вымогателя остается неопределенным, но его оперативная механика и стратегическое использование ранее известных тактик предполагают наличие мощных возможностей и опытного противника, стоящего за его внедрением.

#ParsedReport #CompletenessMedium
22-01-2026

KONNI Adopts AI to Generate PowerShell Backdoors

https://research.checkpoint.com/2026/konni-targets-developers-with-ai-malware/

Report completeness: Medium

Actors/Campaigns:
Scarcruft (motivation: financially_motivated)

Threats:
Spear-phishing_technique
Uac_bypass_technique
Procmon_tool
Fodhelper_technique
Simplehelp_tool

Victims:
Software developers, Engineering teams, Blockchain sector

Industry:
Education, Financial, Ngo, Government

Geo:
Apac, North korean, Australia, India, North korea, Korea, Japan, Korean

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059.001, T1059.003, T1059.005, T1102, T1105, T1202, T1204.001, T1204.002, have more...

IOCs:
File: 8
Registry: 4
Hash: 31
Domain: 6
IP: 5

Soft:
Windows Defender

Algorithms:
zip, xor, sha256, aes

Languages:
javascript, powershell, php

#ParsedReport #ExtractedSchema

Classified images:
code: 4, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания фишинга, приписываемая северокорейскому злоумышленнику KONNI, теперь нацелена на разработчиков программного обеспечения и инженерные команды, имеющие доступ к блокчейну в Японии, Австралии и Индии. Заражение начинается с размещенной в Discord ссылки, ведущей к ZIP-архиву, содержащему загрузчик PowerShell, который запускает бэкдор, использующий методы антианализа и требующий взаимодействия с пользователем. Кампания демонстрирует преемственность тактики KONNI, использующей оружейные файлы LNK и использующие вредоносные скрипты, сгенерированные искусственным интеллектом, для атак.
-----

Check Point Research (CPR) в настоящее время отслеживает кампанию фишинга, приписываемую KONNI, северокорейскому злоумышленнику, который в прошлом нацеливался на организации в Южной Корее. Однако эта недавняя кампания выходит за рамки обычной географической направленности KONNI's и включает потенциальные цели в Японии, Австралии и Индии. Основная аудитория этой кампании включает разработчиков программного обеспечения и инженерные команды, имеющие доступ к блокчейн-технологиям, что указывает на изменение целевой стратегии группы.

Процесс заражения начинается со ссылки, размещенной на Discord, которая ведет к ZIP-архиву, содержащему PDF-файл lure и файл ярлыка Windows (LNK). Файл LNK запускает загрузчик PowerShell, который далее извлекает дополнительный файл DOCX и архив CAB, оба в кодировке XOR. Примечательно, что бэкдор PowerShell, используемый в этой кампании, как полагают, создан искусственным интеллектом, а не людьми-операторами, что демонстрирует появляющуюся тенденцию использования искусственного интеллекта в киберпреступной деятельности.

После выполнения бэкдор PowerShell реализует несколько методов антианализа и Обхода песочницы. Он проверяет спецификации Аппаратного обеспечения хоста, сканирует инструменты мониторинга, такие как IDA и Wireshark, и требует взаимодействия с пользователем, такого как активность мыши и определенное количество щелчков, прежде чем приступить к своим вредоносным операциям. Если эти проверки завершаются неудачей, бэкдор немедленно завершает работу.

Более ранние свидетельства этой кампании, прослеженные до образцов за октябрь 2025 года, указывают на ранее использовавшуюся цепочку заражения, которая начинается с запутанного сценария PowerShell, который извлекает дополнительные компоненты с сервера, контролируемого злоумышленником. Это включает в себя различные скрипты и исполняемые файлы, предназначенные для таких задач, как UAC bypass и предоставление удаленного доступа с помощью инструмента под названием Simple Help.

Тактики, техники и процедуры (ТПД), занятых в этой кампании тесно увязывать с теми, которые исторически связаны с KONNI. Использование оружейного ярлыков LNK и модульный, многоступенчатый цепочку выполнения отражает konni's рамок Конни это. Эта кампания также перерабатывает имена скриптов и шаблонов выполнение знакомые по прошлым konni Конни, усиливая связь для текущих инструментов группы.

#ParsedReport #CompletenessLow
22-01-2026

Dark Web Profile: Anubis Ransomware

https://socradar.io/blog/dark-web-profile-anubis-ransomware/

Report completeness: Low

Actors/Campaigns:
Carbanak

Threats:
Anubis
Sphinx
Anubisbackdoor
Spear-phishing_technique
Shadow_copies_delete_technique

Industry:
Financial, Healthcare

Geo:
Russian, America, Apac

TTPs:
Tactics: 5
Technics: 2

Soft:
Android

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель Anubis, также известная как Sphinx, работает как программа-вымогатель как услуга (RaaS) с партнерской моделью, в которой упор делается на ручное выполнение и нацеленные вторжения, а не на неизбирательные атаки. Филиалы обычно получают доступ с помощью Целевого фишинга и выполняют полезную нагрузку после разведки, при этом Anubis использует сложные методы повышения привилегий и завершения процесса для облегчения шифрования, в котором используется гибридная схема криптографии. Отличительной особенностью является его дополнительный режим очистки, который приводит к необратимой потере данных, усложняя усилия по восстановлению для жертв.
-----

Программа-вымогатель Anubis, также известная как Sphinx, представляет собой группу программ-вымогателей как услуга (RaaS), которая появилась в конце 2024 года. Он в основном работает на русскоязычных форумах и представляет собой ребрендинг более ранней Ransomware. Sphinx - программы-вымогателя.inx Anubis использует партнерскую модель, в которой партнеры выполняют первоначальные компромиссы, в то время как группа предоставляет полезную нагрузку и поддержку программ-вымогателей. Программа-вымогатель запускается вручную операторами-людьми, уделяя особое внимание целям с высокой степенью воздействия, а не неизбирательным атакам. Аффилированные лица обычно получают доступ с помощью методов Целевого фишинга, используя вредоносные документы или исполняемые файлы, требующие взаимодействия с пользователем.

Anubis проверяет наличие административных привилегий при получении доступа и может попытаться повысить разрешения до системного уровня с помощью манипуляций с токенами. Он предназначен для того, чтобы избежать обнаружения путем нацеливания и завершения процессов, связанных с базами данных, решениями для резервного копирования и программным обеспечением безопасности, во время шифрования. При шифровании используется гибридная криптографическая схема, основанная на интегрированной схеме шифрования с эллиптической кривой (ECIES), объединяющая как симметричное, так и асимметричное шифрование. Дополнительный режим очистки позволяет операторам перезаписывать файлы, что усложняет процесс восстановления данных. Эксфильтрация данных обычно происходит перед шифрованием, при этом украденная информация используется для вымогательства через контролируемые Anubis сайты утечки Tor. Для смягчения последствий организациям следует сосредоточиться на усилении мер, мониторинге раннего воздействия, управлении исправлениями и осведомленности о меняющейся тактике Anubis's.

#ParsedReport #CompletenessMedium
22-01-2026

Darktrace Identifies Campaign Targeting South Korea Leveraging VS Code for Remote Access

https://www.darktrace.com/blog/darktrace-identifies-campaign-targeting-south-korea-leveraging-vs-code-for-remote-access

Report completeness: Medium

Threats:
Spear-phishing_technique

Victims:
Government sector, Software developers using visual studio code, South korea users

Industry:
Government

Geo:
Korea, Chinese, Asia, Korean, Dprk

TTPs:
Tactics: 2
Technics: 5

IOCs:
File: 2
Command: 1
IP: 1
Hash: 1

Soft:
Visual Studio Code, VSCode

Algorithms:
base64, zip

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Нацеленная киберкампания, приписываемая северокорейским злоумышленникам, сосредоточена на отдельных лицах в Южной Корее, использующих скрипты JSE и поддельные правительственные документы в качестве приманки. В атаке используется JSE-файл, Маскировка которого под документ текстового процессора Hangul, распространяемый с помощью Целевого фишинга по электронной почте, что позволяет развернуть туннель кода Visual Studio для удаленного доступа. Кампания проводится в соответствии с типичной тактикой КНДР, включая Имперсонацию официальных организаций и усилия по установлению постоянного доступа к компьютерам жертв.
-----

Недавний анализ выявил нацеленную киберкампанию, связанную с деятельностью Корейской Народно-Демократической Республики (КНДР), с акцентом на отдельных лиц в Южной Корее. Злоумышленники используют скрипты с кодировкой Javascript (JSE) и документы правительственной тематики в качестве приманки, чтобы облегчить развертывание туннеля Visual Studio Code (VS Code), устанавливающего удаленный доступ к компьютерам-жертвам.

Вредоносный компонент в походе файла JSE замаскированный процессор хангыль документ Word (HWPX). Этот файл находится, скорее всего, распространяется через целевой фишинг-писем, направленных на конкретные цели. После выполнения, файл JSE, с помощью сервера сценариев Windows, разбирает несколько кодировке base64 элементов для выполнения своих функций. Обманчивое документ HWPX желает быть связано с отбора абитуриентов в магистратуру набор для 2026, имитирующих официальные сообщения Министерства по управлению персоналом, легитимный государственный орган в Южной Корее. Метаданные эти пункты документы на внесение изменений в подлинный содержание правительства, предполагающая меры, направленные на повышение авторитета фишинг попытку.

Эта кампания демонстрирует классическую тактику и методы, связанные с кибероперациями КНДР, в частности, использование местных форматов документов, Имперсонацию правительственных учреждений и намерение установить постоянный удаленный доступ. Хотя для окончательной атрибуции требуются дополнительные доказательства, соответствие известной тактике КНДР повышает уверенность в приписывании этой деятельности спонсируемым государством злоумышленникам из Северной Кореи.