🗿 Интересные исследования продвинутых угроз (APT) и новости ИБ за неделю 👻 Разбор тактик, техник и процедур (TTPs) вымогательской группировки Toy Ghouls/bearlyfy/laboo.boo. Злоумышленники предпочитают проникать в организации через скомпрометированных подрядчиков, а также через уязвимые публичные сервисы. Преимущественно используют общедоступные инструменты, на финальном этапе — LockBit и RedAlert для ОС Windows, а также Babuk для ОС Linux и ESXI. В TTPs есть пересечения с группировкой Head Mare. 🟢Группа Storm-2561 проникает в организации, используя вредоносные сайты в поисковой выдаче по запросам, связанным с корпоративными клиентами виртуальных частных сетей (VPN): Forticlient, Ivanti и подобные. 🟢Новая версия популярного зловреда Remcos — финальные нагрузки целиком бесфайловые. 🟢Технический анализ сложного вредоноса HellsUchecker, который несмотря на компактность весьма функционален и хранит конфигурацию С2 в блокчейне BNB Smart Chain. 🔵Разбор шести вредоносных кампаний, резко активизировавшихся в связи с ближневосточным конфликтом — авторы считают, что шпионские APT из разных стран пытаются добыть информацию о положении вещей. Мишенью везде являются ближневосточные, стратегически важные или государственные организации. 🔵На смежную тему — разбор TTPs группировки Handala hack, отметившейся громкой деструктивной атакой на производителя медтехники Stryker. Авторы отчёта заявляют, что это название скрывает известную APT Void Manticore/Banished Kitten. 🟣Отчёт о новой версии вредоноса Falcon для устройств на ОС Android, крадущего данные более чем из 30 популярных приложений российских банков, операторов связи, госсервисов и маркетплейсов. 🟣Технический анализ малоизвестного, но активно используемого в последнее время шпионского ПО Microstealer, замеченного в основном в атаках на телеком-компании и образовательные учреждения в Германии и США. 🔴Обзорная статья по тенденциям и техникам применения мессенджера Telegram в качестве механики управления (С2) в различных вредоносных кампаниях. ⚪️Новая тенденция в атаках с легитимными инструментами удалённого управления (RMM) — злоумышленники используют поочерёдно несколько инструментов, чтобы фрагментировать телеметрию, надёжнее закрепиться в сети и усложнить устранение угрозы. На атаки с RMM приходится 24% всех инцидентов в 2025г. 🟢Ботнет Rondodox продолжает усложняться, в его арсенале уже 174 эксплойта. 🟢Разбор вредоносной кампании BlackSanta, нацеленной на отделы кадров. Атака начинается с фальшивого резюме, ссылка ведёт на вредоносный образ ISO, из вложенного изображения извлекается следующий этап ВПО, при этом техника BYOVD используется для отключения защитного ПО. 🟢Скандал в благородном 🤪 семействе хранилища пакетов npm: в реестре снова обнаружены вредоносные пакеты, но впоследствии оказалось, что их запустил туда некий исследователь безопасности. Впрочем, его методы другие эксперты называют неэтичными, а кампании однозначно вредоносными. 🔴Две критические уязвимости, потянувшие на CVSS 9.4-9.5, с выполнением произвольного кода без действий со стороны пользователя, для одной не нужна аутентификация.. Нет, это не Ivanti, это снова n8n. Мы же говорили — наш новый любимец. #APT @П2Т