ar
Feedback
CTT Report Hub

CTT Report Hub

الذهاب إلى القناة على Telegram

Threat Intelligence Report Hub

إظهار المزيد
الصين40 887التكنولوجيات والتطبيقات24 185
3 383
المشتركون
+624 ساعات
+127 أيام
+5530 أيام

جاري تحميل البيانات...

القنوات المماثلة
Cyber Threat Intelligence
34.9K
Cyber Threat Intelligence
APT
14.7K
APT
Blue Team Alerts
14.3K
Blue Team Alerts
PT SWARM
6.8K
PT SWARM
CyberSquatting RU Alerts
2.4K
CyberSquatting RU Alerts
avatar
1
قنوات أخرى
سحابة العلامات
вредоносное52
parsedreport48
учетных47
microsoft38
используя37
злоумышленники36
threat33
использует33
generatedschema32
gpt-432
completeness31
доступа30
включая29
таких27
атак25
методы25
обнаружения25
вредоносных22
пользователей22
учетные21
الإشارات الواردة والصادرة
---
---
---
---
---
---
جذب المشتركين
يونيو '26
يونيو '26
+22
في 0 قنوات
مايو '26
+75
في 1 قنوات
Get PRO
أبريل '26
+77
في 0 قنوات
Get PRO
مارس '26
+105
في 0 قنوات
Get PRO
فبراير '26
+93
في 0 قنوات
Get PRO
يناير '26
+80
في 0 قنوات
Get PRO
ديسمبر '25
+76
في 0 قنوات
Get PRO
نوفمبر '25
+66
في 1 قنوات
Get PRO
أكتوبر '25
+69
في 0 قنوات
Get PRO
سبتمبر '25
+81
في 1 قنوات
Get PRO
أغسطس '25
+112
في 0 قنوات
Get PRO
يوليو '25
+66
في 0 قنوات
Get PRO
يونيو '25
+58
في 0 قنوات
Get PRO
مايو '25
+126
في 0 قنوات
Get PRO
أبريل '25
+74
في 0 قنوات
Get PRO
مارس '25
+43
في 0 قنوات
Get PRO
فبراير '25
+57
في 0 قنوات
Get PRO
يناير '25
+75
في 1 قنوات
Get PRO
ديسمبر '24
+63
في 0 قنوات
Get PRO
نوفمبر '24
+60
في 0 قنوات
Get PRO
أكتوبر '24
+77
في 1 قنوات
Get PRO
سبتمبر '24
+99
في 0 قنوات
Get PRO
أغسطس '24
+78
في 0 قنوات
Get PRO
يوليو '24
+147
في 2 قنوات
Get PRO
يونيو '24
+96
في 0 قنوات
Get PRO
مايو '24
+184
في 0 قنوات
Get PRO
أبريل '24
+165
في 2 قنوات
Get PRO
مارس '24
+148
في 0 قنوات
Get PRO
فبراير '24
+99
في 0 قنوات
Get PRO
يناير '24
+94
في 0 قنوات
Get PRO
ديسمبر '23
+106
في 0 قنوات
Get PRO
نوفمبر '23
+60
في 0 قنوات
Get PRO
أكتوبر '23
+90
في 0 قنوات
Get PRO
سبتمبر '23
+51
في 0 قنوات
Get PRO
أغسطس '23
+67
في 0 قنوات
Get PRO
يوليو '23
+113
في 0 قنوات
Get PRO
يونيو '23
+840
في 0 قنوات
Get PRO
مايو '23
+18
في 0 قنوات
Get PRO
أبريل '23
+46
في 0 قنوات
Get PRO
مارس '23
+115
في 0 قنوات
Get PRO
فبراير '23
+36
في 0 قنوات
Get PRO
يناير '23
+12
في 0 قنوات
Get PRO
ديسمبر '22
+23
في 0 قنوات
Get PRO
نوفمبر '22
+27
في 0 قنوات
Get PRO
أكتوبر '22
+31
في 0 قنوات
Get PRO
سبتمبر '22
+55
في 0 قنوات
Get PRO
أغسطس '22
+8
في 0 قنوات
Get PRO
يوليو '22
+11
في 0 قنوات
Get PRO
يونيو '22
+8
في 0 قنوات
Get PRO
مايو '22
+6
في 0 قنوات
Get PRO
أبريل '22
+238
في 0 قنوات
التاريخ
نمو المشتركين
الإشارات
القنوات
11 يونيو0
10 يونيو+6
09 يونيو+2
08 يونيو+5
07 يونيو0
06 يونيو+2
05 يونيو0
04 يونيو+1
03 يونيو+2
02 يونيو+2
01 يونيو+2
منشورات القناة
CTT Report Hub
#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate) ------ В мае 2026 года многоуровневая кибератака нацелилась на сектор здравоохранения с использованием сложных методов, включая фишинговое письмо, замаскированное под переписку от Администрации социального обеспечения. Атака включала использование ВПО, такого как AdaptixC2 для управления, XWorm для доступа и эксфильтрации через Телеграм, а также ScreenConnect для интерактивного контроля. Методы включали использование замаскированного исполняемого файла PE32 с помощью RTLO для обхода обнаружения, в сочетании с обширной разведкой среды Active Directory Microsoft для облегчения перемещения внутри компании и стратегий закрепления. ----- В середине мая 2026 года была осуществлена сложная атака с использованием стандартных средств вторжения, реализованная многоуровневым подходом с применением ВПО и ПО для удаленного доступа в среде Microsoft Active Directory в секторе здравоохранения. Процесс атаки начался с тщательно составленного фишингового письма, имитирующего Управление социального обеспечения (SSA), которое содержало ссылку на архив RAR, размещенный на взломанном сайте WordPress. Этот архив содержал исполняемый файл PE32, замаскированный под PDF-документ с использованием трюка с именем файла через символ правого-левого переопределения (RTLO), что позволило ему избежать обнаружения. Атакующий использовал AdaptixC2 в качестве основной инфраструктуры управления (C2), применяя дополнительные инструменты, такие как XWorm для избыточного доступа и Телеграм для эксфильтрации, а также два независимых экземпляра ScreenConnect для интерактивного контроля. Первоначальная компрометация произошла через фишинговое письмо, которое привело к доставке вредоносной DLL (jli.dll), размещенной в публичных документах пользователя. Оператор затем использовал команду Windows certutil для загрузки компонентов AdaptixC2 с указанного URL, что способствовало установлению закрепления и запуску дополнительных полезной нагрузки. В ходе инцидента было запущено несколько вариантов Staging AdaptixC2, демонстрирующих беконинг на определенные IP-адреса через HTTPS. Использование проверки TLS предоставило информацию о трафике C2, раскрывая реальные URL-адреса и маячки в открытом виде, что способствовало эффективной атрибуции активности. Фаза разведки включала картирование домена с использованием SAMR и LSAD, что позволило злоумышленнику собрать подробную информацию о пользователях домена, группах и доверительных отношениях, что критически важно для перемещения внутри компании. Основной фреймворк C2, AdaptixC2, демонстрировал характерный паттерн беконинга, выражавшийся в специфических HTTP POST-запросах к таким конечным точкам, как /updates/check.php. XWorm, развернутый в виде DLL, предоставлял дополнительные возможности доступа и использовал Bot API Телеграм для эксфильтрации, что указывает на четко определенную оперативную методологию. Тем временем ScreenConnect обеспечивал интерактивный доступ с устойчивостью за счет развертывания на нескольких доменах, усложняя попытки прервать доступ злоумышленников. Учитывая сложность атаки, она отражает адаптивную стратегию вторжения, при которой первоначальный доступ осуществляется с помощью социальной инженерии, а не продвинутых технических эксплойтов. Использование RTLO для маскировки исполняемых файлов остается надежной тактикой для обхода бдительности пользователей, а наличие недетектируемых хешей для полезной нагрузки в VirusTotal подчеркивает необходимость поведенческого обнаружения и сетевого мониторинга вместо опоры на традиционные отпечатки файловых хешей. Этот случай подчеркивает важность тщательного мониторинга легитимных инструментов, используемых в рамках злонамеренных кампаний, особенно в отношении утилит сертификатов, механизмов закрепления и поведения C2, связанного с известными семействами ВПО.

2
#ParsedReport #GeneratedSchema Generated with GPT-4
#ParsedReport #GeneratedSchema Generated with GPT-4
36
3
#ParsedReport #CompletenessHigh 11-06-2026 [Op Report\] From SSA Phish to AdaptixC2: A Multi-RAT Intrusion https://blog.deception.pro/blog/xworm-sc-hok-may-2026 Report completeness: High Threats: Adaptixc2_tool Xworm_rat Screenconnect_tool Right-to-left_override_technique Typosquatting_technique Phantom_stealer Pingcastle_tool Mimikatz_tool Tinba Spear-phishing_technique Credential_dumping_technique Victims: Healthcare Industry: Healthcare Geo: Polish, United states TTPs: Tactics: 3 Technics: 9 IOCs: Domain: 9 File: 15 IP: 3 Url: 10 Hash: 5 Path: 3 Registry: 2 Command: 2 Soft: WordPress, Active Directory, Telegram, Windows Powershell Algorithms: zip, sha256 Functions: RPC Languages: php, powershell Platforms: x86
29
4
#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate) ------ Ботнет ProxyCB представляет собой сложную киберугрозу, использующую зараженные хосты в качестве прокси-серверов для незаконной деятельности. Его архитектура включает клиентский бот и серверное ядро, известное как PCBServer 7. Ботнет функционирует через фиксированные TCP-порты для управления и выполнения задач, применяет уникальные идентификаторы для зараженных узлов и использует различные режимы работы, такие как SOCKS4 и SOCKS5, для эксфильтрации данных. Ботнет тесно связан с группой шпионажа TeamSpy и демонстрирует передовые тактики, включая упаковку ВПО с легальным программным обеспечением и поддержание закрепления с помощью методов обфускации. ----- Ботнет ProxyCB использует заражённые хосты в качестве прокси для вредоносной деятельности. Его архитектура включает клиентский бот, каналы управления и данных, веб-панель, а также использует PCBServer 7. Управление связью осуществляется через TCP-порт 1001, тогда как операционные задачи используют порт 1002. Ботнет имеет панель авторизации, доступ к которой осуществляется через порты 80 и 443. ProxyCB генерирует уникальные идентификаторы для зараженных узлов и обеспечивает закрепление для предотвращения перезагрузок. Это обеспечивает связь для управления через выделенные потоки для логики управления и операционной логики. Веб-интерфейс скрывает основные механизмы управления, встроенные в ядро сервера, с использованием проприетарного бинарного протокола. В более старых образцах использовались домены, такие как gogogobaby12.com; в новых итерациях они обнаруживаются под доменами, такими как kilo-torrent.org. ProxyCB работает в связке с другими угрозами, такими как ботнет Virut, который использует сложные техники внедрения. Он поддерживает такие режимы работы, как SOCKS4, SOCKS5 и HTTP-туннелирование для эксфильтрации и перехвата данных. Взаимодействие между прокси-узлами и сервером структурировано вокруг сообщений фиксированной длины для эффективной обработки команд. Ботнет использует установщики, маскирующиеся под легальное программное обеспечение, такое как uTorrent, применяя Inno Setup для обфускации. Деятельность ProxyCB продолжалась до конца января 2025 года, что свидетельствует о высоком уровне автоматизации и имитации поведения пользователей. Существуют исторические связи между ProxyCB и группой кибершпионажа TeamSpy, что указывает на общую инфраструктуру и цели. Координация между ProxyCB и TeamSpy указывает на долгосрочную стратегию создания надежной сети распространения. ProxyCB характеризуется как зрелая киберугроза, способная эволюционировать в тактиках и техниках уклонения.
20
5
#ParsedReport #GeneratedSchema Generated with GPT-4
#ParsedReport #GeneratedSchema Generated with GPT-4
21
6
#ParsedReport #CompletenessMedium 11-06-2026 A living fossil, or how the ProxyCB botnet survived https://rt-solar.ru/solar-4rays/blog/6652/ Report completeness: Medium Threats: Proxycb Virut Teamspy Ponystealer Nssm_tool Teamviewer_tool Victims: Russian online services, Email platforms, Marketplaces, Social networks, Telecom services, Gaming services, Russian federation Industry: Telco, Financial, Entertainment, E-commerce Geo: Russian federation, Russian ChatGPT TTPs: do not use without manual check T1027, T1036, T1036.004, T1036.005, T1055, T1059.007, T1090, T1105, T1204.002, T1218.011, have more... IOCs: IP: 1 Domain: 20 File: 11 Hash: 75 Soft: Telegram, VKontakte, Node.js, winlogon, uTorrent Algorithms: md5, sha256, sha1, zip Functions: GetConfig, SetConfig Win API: CreateRemoteThread Languages: jscript Platforms: x86
23
7
#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate) ------ В июне 2026 года ServiceNow подвергся взлому, который позволил несанкционированный доступ к данным клиентских инстансов из-за уязвимости в конечной точке API, не имеющей надлежащих средств контроля аутентификации. Затронутые инстансы в основном относились к платформенному релизу для Австралии и некоторым более старым конфигурациям, хотя конкретные сведения о доступе к данным и задействованной конечной точке остаются частично не раскрытыми. Злоумышленная активность, связанная с этой уязвимостью, побудила команды безопасности оповестить затронутых клиентов и внедрить обновление безопасности вскоре после обнаружения инцидента. ----- В июне 2026 года компания ServiceNow сообщила о нарушении, связанном с несанкционированным доступом к данным клиентских инстансов из-за уязвимости, позволяющей злоумышленникам эксплуатировать конечную точку API без стандартных средств контроля аутентификации. Этот инцидент, обнаруженный примерно 2–3 июня, побудил ServiceNow уведомить затронутых клиентов 5 июня и привел к внедрению обновления безопасности вскоре после этого. Нарушение в первую очередь затронуло клиентские инстансы на платформе Australia release и некоторых более старых релизах, которые имели специфические изменения конфигурации. Однако точные критерии для затронутых и незатронутых инстансов остаются не раскрытыми, и клиентам рекомендуется проверять свой статус через поддержку ServiceNow, а не полагаться на публичную информацию. ServiceNow не раскрыла точный API-эндпоинт, вовлеченный в инцидент. Тем не менее, сообщается, что эндпоинт, связанный с этой злонамеренной активностью, находится по адресу /api/now/related_list_edit/create. Уязвимость была связана с вредоносным поведением, которое вызвало тревогу у команд безопасности ServiceNow, хотя детали о доступе к данным — такие как количество затронутых инстансов, содержание скомпрометированных данных и факт их выгрузки или появления на криминальных маркетплейсах — не полностью раскрыты. Для снижения дальнейших рисков организациям рекомендуется проверять журналы на наличие подозрительной активности API, уделяя особое внимание запросам, выполненным из неаутентифицированных контекстов или исходящим из необычных шаблонов трафика. В частности, следует обращать внимание на попытки доступа с незнакомых IP-адресов, активность вне обычного рабочего времени или любое поведение, похожее на перечисление, которое может указывать на систематическое зондирование системы. Кроме того, организациям рекомендуется провести аудит своих контролей API и ACL. Это включает в себя обзор пользовательских Scripted REST API, политик доступа REST и поведения списков управления доступом (ACL) в контексте неаутентифицированного доступа. Собственная документация ServiceNow по аутентификации API и политикам доступа REST API может помочь в этом процессе проверки. В заключение, инцидент с ServiceNow подчеркивает критические уязвимости, связанные с неправильными мерами аутентификации в публичных API, и требует усиленного контроля за управлением доступом и надежной практики ведения журналов у клиентов, чтобы предотвратить потенциальную эксплуатацию в будущем.
34
8
#ParsedReport #GeneratedSchema Generated with GPT-4
#ParsedReport #GeneratedSchema Generated with GPT-4
38
9
#ParsedReport #CompletenessLow 10-06-2026 ServiceNow Breach: Customer Data Exposed Through Unauthenticated API Access https://socradar.io/blog/servicenow-breach-customer-api-access/ Report completeness: Low Victims: Servicenow customers Industry: E-commerce Geo: Australia TTPs: Tactics: 1 Technics: 0 ChatGPT TTPs: do not use without manual check T1190, T1213 IOCs: IP: 1 Soft: ServiceNow
57
10
Всем привет! 23 мая состоялся CTI meetup №5, который организовали Инсека и Технологии киберугроз. 🎥 Презентации и запись выс
Всем привет! 23 мая состоялся CTI meetup №5, который организовали Инсека и Технологии киберугроз. 🎥 Презентации и запись выступлений CTI meetup №5 можно посмотреть на странице митапа. 📸 Фотоотчет с митапа здесь. Спасибо всем, кто был с нами на митапе. Когда будет следующая встреча? - по мере формирования программы митапа. Присылайте информацию о себе и свою тему доклада на @insecatech, мы с вами обязательно свяжемся!
110
11
Провели еще 23 мая вместе с INSECA уже 5тый митап!
101
12
#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate) ------ MLTBackdoor — это семейство ВПО, выявленное Zscaler ThreatLabz в мае 2026 года, связанное с деятельностью, связанной с вымогательством, и использующее многоэтапную цепочку заражения. Оно применяет передовые техники обфускации, такие как Смешанная булево-арифметическая (MBA) и Сглаживание потока управления (CFF), для усложнения реверс-инжиниринга, а также динамическое разрешение API и меры противодействия анализу для уклонения от обнаружения. Кроме того, MLTBackdoor имеет загрузчик Beacon Object File (BOF) для дополнительных функций, безопасную связь через собственный зашифрованный протокол и алгоритм генерации доменов (DGA) для закрепления. ----- MLTBackdoor — это новое семейство ВПО, связанное с деятельностью, связанной с вымогательством, обнаруженное Zscaler ThreatLabz в мае 2026 года. Это ВПО использует сложную многоэтапную цепочку заражения, включающую приманку ClickFix, в основном нацеленную на пользователей через контент, связанный с автомобилями. После выполнения MLTBackdoor выполняет самообновление и работает как загруженный в обход компонент через легитимное приложение Microsoft, повышая свою скрытность во время заражения. Вредоносное ПО использует ряд передовых техник обфускации, включая Смешанную Булево-Арифметическую (MBA) и Плоское Управление Потоком (CFF), что значительно усложняет обратную разработку. Примерно 95% кода MLTBackdoor составляют ненужные вычисления, сгенерированные через MBA, которые добавляют сложность без функциональной необходимости. CFF изменяет традиционный поток управления, преобразуя условные ветвления в формат конечного автомата, что затрудняет понимание логики кода. Кроме того, MLTBackdoor конструирует строковые значения во время выполнения в стеке, что приводит к фрагментированным данным, анализ которых затруднен, особенно в сочетании с вышеупомянутыми стратегиями обфускации. Разрешение API выполняется динамически во время выполнения с использованием хеширования DJB2, что позволяет обходить типичные методы обнаружения за счёт избегания обычных вызовов API в пользовательском режиме и использования прямых системных вызовов. ВПО применяет технику, называемую «Hell’s Gate», позволяющую ему строить таблицу времени выполнения на основе нативных вызовов, дополнительно скрывая свою деятельность от стандартных средств защиты. MLTBackdoor реализует различные меры противодействия анализу, включая проверки на наличие сред отладки или песочницы. Вместо прекращения работы он собирает результаты нескольких проверок для определения контекста выполнения, отправляя эту информацию во время первоначального взаимодействия с сервером управления (C2). Возможности вредоносного ПО значительно расширены за счёт загрузчика Beacon Object File (BOF), который позволяет динамически загружать дополнительные функции во время эксплуатации после взлома. Этот загрузчик совместим с BOF, созданными сообществом, и имеет специфические модификации, которые перенаправляют вызовы через собственные обёртки для косвенных системных вызовов. Сетевые коммуникации защищены с использованием собственного зашифрованного бинарного протокола поверх TLS, имеющего уникальную структуру, которая маскирует его трафик под легитимные коммуникации. MLTBackdoor использует обмен ключами Elliptic-Curve Diffie-Hellman (ECDH) для установления общего сеансового ключа AES-256-GCM для шифрования сообщений. Он также применяет детерминированный алгоритм генерации доменов (DGA) для создания ежедневных доменов, что усиливает его закрепление и затрудняет усилия по обнаружению.
132
13
#ParsedReport #GeneratedSchema Generated with GPT-4
#ParsedReport #GeneratedSchema Generated with GPT-4
73
14
#ParsedReport #CompletenessHigh 09-06-2026 Technical Analysis of MLTBackdoor https://www.zscaler.com/blogs/security-research/technical-analysis-mltbackdoor Report completeness: High Threats: Mltbackdoor Clickfix_technique Antidebugging_technique Sandbox_evasion_technique Cobalt_strike_tool Victims: Automotive Industry: Transport TTPs: Tactics: 1 Technics: 0 ChatGPT TTPs: do not use without manual check T1001.003, T1005, T1027, T1027.007, T1027.016, T1071.001, T1106, T1140, T1204, T1497, have more... IOCs: Url: 2 Command: 2 Path: 1 File: 23 Domain: 4 Hash: 7 Soft: Microsoft Defender, process explorer Algorithms: sha256, aes-256-gcm, aes, ecdh, xor, rc4 Functions: GetWindowText Win API: WinHttpConnect, enumwindows, NtQueryInformationProcess, BCryptGenRandom, NtAllocateVirtualMemory, NtProtectVirtualMemory, NtFreeVirtualMemory, NtWriteVirtualMemory, NtCreateThreadEx, NtQuerySystemInformation, have more... Languages: python Links: https://github.com/ThreatLabz/tools/tree/main/mltbackdoor
64
15
#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate) ------ APT-C-08, известный как Manlinghua, — это злоумышленник, базирующийся в Южной Азии, который нацелен на правительственные и военные сектора, применяя передовые тактики фишинга для компрометации жертв. Их недавние кампании включают обманные веб-сайты для сбора учетных данных и распространения ВПО, в основном используя скрипты VBS, которые настраивают системы управления и применяют Стеганографию для уклонения от обнаружения. Настойчивые тактики группы подчеркивают продолжающуюся киберугрозу в регионе, используя социальную инженерию и технические навыки для поддержания несанкционированного доступа к чувствительным системам. ----- APT-C-08, также известный как Manlinghua, — это сложный злоумышленник с правительственными связями, базирующийся в Южной Азии, который активно нацеливается на соседние страны в последние годы. Эта группа проявляет сильный интерес к вторжениям, связанным с государственными органами, военными секторами, университетами и зарубежными организациями. Последний анализ выявил рост фишинговых кампаний, организованных Manlinghua, которые используют обманные тактики для сбора учетных данных и развертывания ВПО. Недавняя фишинг-активность включает распространение веб-сайтов, созданных на базе технологии LiteSpeed Web. Эти сайты используют двухпутевой подход: один из них маскируется под знакомый почтовый сервис, а именно сайт 163.com, чтобы обманом заставить жертв невольно раскрыть свои учетные данные электронной почты. Другой путь служит порталом для загрузки, где жертва невольно скачивает вредоносные VBS-скрипты. Эти скрипты предназначены для настройки нескольких элементов, включая адреса управления (C2), запланированные задачи и пути к документам-приманкам, тем самым обеспечивая успешную компрометацию целевой системы. При выполнении вредоносные скрипты демонстрируют поведение, соответствующее установленным тактикам, техникам и процедурам (TTPs), связанным с Manlinghua. Например, скрипты запрограммированы на резервное копирование вредоносных файлов в нескольких местах на зараженном устройстве, что дополнительно укрепляет закрепление угрозы. Примечательно, что основная функция одного из скриптов, идентифицированного как vps_transfer.ps1, использует Стеганографию, что позволяет вредоносной нагрузке избегать обнаружения. Текущая кампания тесно связана с предыдущими методологиями, применяемыми группировкой Manlinghua, что демонстрирует способность группы адаптироваться и эффективно повторно использовать свои стратегии. Они сочетают социальную инженерию с передовыми техническими возможностями, создавая хорошо структурированную цепочку атаки. Это позволяет им преодолевать начальные средства защиты и поддерживать постоянное присутствие в системах жертв. Используя удаленное выполнение команд и стеганографические техники, встроенные в их ВПО, Manlinghua представляет значительные риски для целостности и конфиденциальности конфиденциальной информации на затронутых устройствах. Эволюционирующие тактики этой группы подчеркивают продолжающуюся и выраженную угрозу для кибербезопасности в регионе.
57
16
#ParsedReport #GeneratedSchema Generated with GPT-4
#ParsedReport #GeneratedSchema Generated with GPT-4
43
17
#ParsedReport #CompletenessLow 10-06-2026 APT-C-08 (Manlinghua) Recent Phishing Attack Campaign Analysis https://www.ctfiot.com/310428.html Report completeness: Low Actors/Campaigns: Bitter Threats: Steganography_technique Victims: Government, Defense, Education, Foreign affairs, Enterprises Industry: Government, Education, Military Geo: Asia, Asian TTPs: Tactics: 1 Technics: 0 ChatGPT TTPs: do not use without manual check T1027.003, T1059.005, T1105, T1566.002 IOCs: Hash: 1 File: 2 IP: 1 Soft: LiteSpeed Algorithms: zip, md5
43
18
#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate) ------ Растущее использование домашних прокси-серверов в корпоративных сетях создает значительные риски для безопасности, поскольку более 65% клиентов Infoblox Threat Defense Cloud взаимодействовали с такими доменами, что усложняет атрибуцию и может нанести ущерб репутации. Злоумышленники используют эти прокси-серверы для уклонения от обнаружения при совершении вредоносных действий, которые трудно отличить от легитимного трафика. Растущий спрос, особенно на веб-скрапинг, усугубляет проблему, при этом наблюдаются заметные всплески DNS-запросов, связанных с этими прокси-серверами, на фоне опасений по поводу несанкционированных сервисов, проникающих в различные сектора. ----- Распространение домашних прокси-серверов в корпоративных сетях становится все более тревожным, о чем свидетельствуют данные Infoblox, согласно которым более 65% клиентов Threat Defense Cloud взаимодействовали с доменами, связанными с сетями домашних прокси-серверов. Широкое использование таких прокси-серверов вызывает серьезные опасения в отношении безопасности сети и усилий по реагированию на инциденты, поскольку злоупотребления, совершаемые через домашние прокси-серверы, могут вовлекать невиновные организации в качестве злоумышленников, усложняя процесс атрибуции и нанося потенциальный ущерб репутации. Резидентские прокси, которые перенаправляют интернет-трафик через устройства обычных потребителей, позволяют злоумышленникам избегать систем репутации IP-адресов и обходить меры обнаружения мошенничества. Такие прокси создают «отмытый» трафик, который может снижать количество предупреждений безопасности, поскольку вредоносные действия смешиваются с легитимной деятельностью потребителей. Многие прокси могут устанавливаться без согласия, часто встроенные в приложения или устройства без ведома пользователя, что аналогично криптоджекингу, при котором компрометируется пропускная способность и пространство IP-адресов, а не вычислительные мощности. Анализ DNS-трафика от Infoblox указывает на устойчивый рост запросов к доменам резидентных прокси, увеличившийся более чем на 25% с января 2025 года по апрель 2026 года. Этот всплеск частично объясняется растущим спросом, обусловленным веб-скрапингом для обучения моделей искусственного интеллекта, где резидентные прокси предпочтительны из-за их способности к Имперсонация реального пользовательского трафика. Примечательно, что инцидент с отключением сервиса IPIDEA в январе 2026 года сопровождался значительным ростом на 265% числа затронутых клиентских сетей, что свидетельствует об усилении активности и потенциальном хаосе в экосистеме прокси. Анализ Infoblox подчеркивает растущее влияние крупных провайдеров домашних прокси-серверов, при этом такие сервисы, как Brightdata и Oxylabs, доминируют на рынке, а другие, такие как Hola и Honeygain, встраивают прокси-функциональность в бесплатные приложения. В различных отраслях растут опасения, поскольку более 90% организаций в фармацевтическом секторе и секторе продуктов питания и напитков, а также более 60% в банковском и государственном секторах взаимодействовали с этими несанкционированными сервисами. Такое широкое распространение требует стратегического подхода со стороны организаций, склонных к минимизации рисков; рекомендуется внедрять Защитный DNS для мониторинга и блокировки этих прокси-серверов в сетях, а также проводить тщательные оценки журналов DNS-запросов и установленных приложений. В конечном итоге, в отчете подчеркивается насущная необходимость повышения видимости и принятия проактивных мер для снижения рисков, связанных с использованием резидентных прокси-серверов, поскольку их присутствие может быть не столь безобидным, как кажется, и часто находится в серой зоне с точки зрения этического использования и потенциально злонамеренных намерений.
33
19
#ParsedReport #GeneratedSchema Generated with GPT-4
#ParsedReport #GeneratedSchema Generated with GPT-4
31
20
#ParsedReport #ExtractedSchema Classified images: schema: 2, chart: 4
#ParsedReport #ExtractedSchema Classified images: schema: 2, chart: 4
31
عرض جميع المنشورات