#ParsedReport #CompletenessMedium
24-02-2026

Moonrise RAT: A New Low-Detection Threat with High-Cost Consequences

https://any.run/cybersecurity-blog/moonrise-rat-detected/

Report completeness: Medium

Threats:
Moonrise_rat
Credential_harvesting_technique
Uac_bypass_technique

Victims:
Enterprises, Organizations

Industry:
Healthcare, Financial

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1055, T1056, T1057, T1059, T1071, T1082, T1105, T1113, have more...

IOCs:
File: 2
IP: 1
Hash: 6

Soft:
Linux, Android, steam

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Moonrise RAT - это Троянская программа для удаленного доступа на базе Go, характеризующаяся низкой частотой обнаружения и значительными вредоносными возможностями. Он быстро устанавливает связь с серверами командования и контроля после выполнения и облегчает такие действия, как кража учетных данных, удаленное выполнение команд, постоянный доступ и мониторинг пользователей, включая доступ к веб-камере и микрофону. Скрытность вредоносное ПО и его универсальные функциональные возможности создают серьезные угрозы, особенно в финансовом и административном секторах, что приводит к сбоям в работе и потенциальной потере данных.
-----

Moonrise RAT - это недавно обнаруженная Троянская программа для удаленного доступа, разработанная с использованием Go, отличающаяся низкой частотой обнаружения и высоким потенциалом повреждения. Он был обнаружен в изолированной среде, но не был распознан VirusTotal и не был связан с какими-либо ранее существовавшими сигнатурами поставщиков, демонстрируя его скрытые возможности. После запуска Moonrise почти сразу инициирует связь со своими серверами командования и контроля (C2), обходя меры раннего обнаружения, которые обычно основаны на статическом анализе.

Этот RAT облегчает целый ряд вредоносных действий, включая кражу учетных данных, удаленное выполнение команд, постоянный доступ и мониторинг пользователей, которые в совокупности позволяют злоумышленнику полностью контролировать зараженную конечную точку. Его возможности распространяются на загрузку и выполнение файлов, которые могут привести к появлению дополнительных вредоносных программ, таких как стиллер данных или Ransomware. Вредоносное ПО может фиксировать активность на экране, получать доступ к веб-камерам и использовать микрофоны для мониторинга конфиденциальных внутренних операций, особенно в финансовых и административных настройках. Как следствие, заражение может привести к значительным сбоям в работе, потере данных и финансовым последствиям.

Операционный фреймворк Moonrise включает в себя ряд шагов, которые определяют вектор его атаки. Во-первых, он устанавливает постоянную связь C2 для поддержания контроля. Он регистрирует сеансы сразу после выполнения, позволяя злоумышленнику немедленно выполнять команды. Кроме того, он обладает функциями, обеспечивающими видимость среды хоста, получение учетных данных и обширный мониторинг взаимодействий пользователей, включая возможность проверки активного Аппаратное обеспечение камеры для целей наблюдения. RAT также обеспечивает повышение привилегий и модификацию конфигурации системы, облегчая оператору долговременную настройку работы.

Раннее обнаружение имеет решающее значение в борьбе с такими угрозами, как восход Луны, требуя от служб безопасности быстрого перехода от первоначальных, неоднозначных сигналов к действенным стратегиям сдерживания. Трехэтапный подход, в котором особое внимание уделяется мониторингу, быстрой сортировке и эффективному выявлению угроз, может значительно увеличить время реагирования и снизить риски, связанные с такими скрытными RAT. Это включает в себя распознавание нерегулярного трафика или новой инфраструктуры, связанной с потенциальными заражениями, быстрое обогащение данных об инцидентах и отслеживание подтвержденных инцидентов для предотвращения повторений.

В конечном счете, ключевой вывод, касающийся Moonrise RAT, заключается в том, что наибольший риск связан не только с самим вредоносным программным обеспечением, но и с тем временем, когда оно может оставаться незамеченным, позволяя злоумышленникам беспрепятственно выполнять вредоносные действия. Разработка эффективных и гибких протоколов мониторинга и реагирования необходима для снижения потенциальной подверженности и воздействие аналогичных угроз в будущем.

#ParsedReport #CompletenessHigh
24-02-2026

STATICPLUGIN

https://sect.iij.ad.jp/blog/2026/02/plugx-executed-via-staticplugin/

Report completeness: High

Actors/Campaigns:
Red_delta (motivation: cyber_espionage)
Earth_baxia

Threats:
Staticplugin
Plugx_rat
Valleyrat
Dll_sideloading_technique

Victims:
Government agencies, Diplomats

Industry:
Government

Geo:
Chinese, Asian, China

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1071.001, T1140, T1204.002, T1553.002, T1574.002, T1620

IOCs:
File: 8
IP: 3
Domain: 2
Url: 1
Hash: 8
Registry: 1
Path: 3

Soft:
Twitter

Algorithms:
xor, sha256, rc4

Win API:
NtCreateFile, NtReadFile, RtlRegisterWait, wsprintfA

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2, dump: 4, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В январе 2026 года был идентифицирован новый вариант вредоносное ПО PlugX, связанный с APT-группировка UNC6384, нацеленный на правительственные учреждения Юго-Восточной Азии. Вредоносное ПО запускается с помощью законно выглядящего исполняемого файла, Browser_Updater.exe , который загружает вредоносный MSI-файл. Он использует DLL sideloading для вредоносного загрузчика и шифрует данные конфигурации с помощью RC4, демонстрируя достижения в методах обхода, включая использование отозванного сертификата и скрытых доменов C2.
-----

Вредоносное ПО в январе 2026 года был идентифицирован новый вариант PlugX, связанный с APT-группировка UNC6384, которая, как полагают, занимается кибершпионажем, нацеленным в первую очередь на правительственные организации и должностных лиц в Юго-Восточной Азии. Механизм выполнения этого варианта PlugX включает вредоносный исполняемый файл с именем Browser_Updater.exe это маскируется под законное программное обеспечение, обновляющее веб-браузер. При запуске, независимо от взаимодействия с пользователем, он загружает и запускает вредоносный MSI-файл с сервера злоумышленника, что указывает на эволюцию вредоносное ПО STATICPLUGIN, ранее атрибутирован с UNC6384.

Примечательно, что вредоносное ПО подписано с использованием отозванного сертификата китайской компании Shanxi Shengyuan, тот же сертификат, как сообщается, использовался для других вредоносных действий, связанных с вредоносное ПО, таким как ValleyRAT. Инфраструктура, на которой размещаются эти атаки, включает сервер управление (C2), идентифицированный по IP-адресу 45.251.243.210, который ранее использовался для распространения PlugX.

После запуска вариант PlugX устанавливается в системе жертвы путем удаления файлов с законными именами — в частности, с использованием исполняемого файла антивирусного продукта G DATA CyberDefense AG, Avk.exe , чтобы замаскировать вредоносный загрузчик, Avk.dll . Этот метод использует DLL sideloading для загрузки и выполнения полезной нагрузки PlugX, содержащейся в DLL, которая декодируется и выполняется в памяти с помощью механизма шеллкода, использующего кодировку XOR.

При инициализации этот вариант PlugX расшифровывает важные данные конфигурации, такие как адрес сервера C2, найденные в разделе .data, используя шифрование RC4, с ключом, полученным из определенной позиции в строке конфигурации. В отличие от более ранних версий, наблюдавшихся до декабря 2025 года, где при расшифровке обнаруживались данные в виде открытого текста, информация о конфигурации этого нового варианта зашифрована и требует более сложного процесса декодирования.

Кроме того, последующий анализ показал, что инфраструктура C2 может включать в себя несколько доменов, один из которых обнаружен как fruitbrat.com , который скрыт Cloudflare, что делает фактический IP менее идентифицируемым. Однако исторические данные указывают на то, что сервер C2 другого варианта PlugX указывал на IP-адрес 108.165.255.97:443, который показал поведение, аналогичное поведению домена fruitbrat.

Непрерывная эволюция и усовершенствование вредоносное ПО PlugX указывают на то, что APT-группировка, такая как UNC6384, активно расширяет свои возможности по уклонению от обнаружения, что свидетельствует о постоянной угрозе, требующей постоянной бдительности и анализа со стороны специалистов по Кибербезопасность.

#ParsedReport #CompletenessLow
24-02-2026

1Campaign: A New Cloaking Platform Helping Attackers Abuse Google Ads

https://www.varonis.com/blog/1campaign

Report completeness: Low

Threats:
1campaign_tool
Cloaking_technique
Bec_technique
Smishing_technique
Spiderman_tool
Fishxproxy_tool

Victims:
Phishing victims, Crypto users, Advertising platforms, Financial services

Industry:
Financial, Telco

Geo:
Hungary, Canada, Albania, China, Germany, Japan, Netherlands, France

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1204.001, T1562.006, T1566.002, T1583.001, T1583.003, T1590.005, T1591.002, T1592.004, have more...

Soft:
Telegram, Twitter

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
1Campaign - это платформа Cloaking, предназначенная для того, чтобы киберпреступники могли уклоняться от показа рекламы Google, позволяя фишинг-страницам и страницам с крипто-утечкой дольше оставаться активными. Он использует методы cloaking, чтобы показывать исследователям безопасности доброкачественный контент, направляя жертв на вредоносные сайты, включая фильтрацию посетителей в режиме реального времени, оценку мошенничества и нацелен на географическую оптимизацию. Платформа также облегчает проведение как вредоносных, так и доброкачественных рекламных кампаний, усложняя обнаружение и подчеркивая растущую сложность и доступность инструментов, которые позволяют проводить крупномасштабные операции по мошенничеству с рекламой и фишинг-атакам.
-----

1Campaign - это сложная платформа Cloaking, позволяющая киберпреступникам обходить процессы проверки рекламы Google.

Он использует методы Cloaking, показывая исследователям и автоматическим сканерам доброкачественный контент и направляя жертв на вредоносные сайты.

Платформа оснащена информационной панелью с фильтрацией посетителей в режиме реального времени, оценкой мошенничества и географическим таргетингом.

Посетителям присваиваются баллы за мошенничество на основе их профиля, блокирующие сообщения из известных источников, таких как технологические компании и поставщики систем безопасности.

Например, успешность кампании "Blockbyblockchain" составила 0,6%, что свидетельствует об эффективной фильтрации.

1Campaign позволяет настраивать таргетинг на определенные географические местоположения и типы устройств для оптимизации попыток фишинг.

Он может запускать как вредоносные, так и безобидные рекламные кампании Google, позволяя злоумышленникам выдавать себя за законные компании.

Этот инструмент является частью тенденции, делающей сложные инструменты фишинг более доступными для киберпреступников, не требуя от них продвинутых технических навыков.

1Campaign связан с Вредоносная реклама, перенаправляющая трафик на сайты, размещающие фишинг и вредоносное ПО, через законное рекламное пространство.

Платформа усложняет традиционные методы обнаружения фишинг-атак, избегая воздействия мер безопасности на вредоносный контент.

1Campaign иллюстрирует опасную конвергенцию мошенничества с рекламой и фишинг, создающую серьезные проблемы для защитников безопасности.

#ParsedReport #CompletenessMedium
24-02-2026

North Korean Lazarus Group Now Working With Medusa Ransomware

https://www.security.com/threat-intelligence/lazarus-medusa-ransomware

Report completeness: Medium

Actors/Campaigns:
Lazarus (motivation: cyber_espionage)
Spearwing
Andariel (motivation: cyber_espionage)
Play_ransomware

Threats:
Medusa_ransomware
Playcrypt
Comebacker
Blindingcan
Mimikatz_tool
Credential_dumping_technique
Dll_sideloading_technique

Victims:
Healthcare, Non profit, Education, Defense, Technology, Government, Private companies

Industry:
Financial, Military, Government, Healthcare

Geo:
Middle east, North korean, Taiwan, North korea, Korea

ChatGPT TTPs:
do not use without manual check
T1003.001, T1055, T1090, T1486, T1651

IOCs:
Hash: 48
IP: 4
Domain: 8

Soft:
Chrome, Curl

Links:
https://github.com/gentilkiwi/mimikatz
have more...
https://github.com/BernKing/ChromeStealer

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Спонсируемые государством северокорейские актор, связанные с группой Lazarus, в частности подгруппа Stonefly, начали использовать Medusa ransomware для атак на сектор здравоохранения США, используя модель "программа-вымогатель как услуга" с момента ее запуска в 2023 году. Medusa была причастна к более чем 366 задокументированным атакам, целями которых были медицинские учреждения и некоммерческие организации, а средние требования о выкупе составляли около 260 000 долларов. Группа использует ряд сложных инструментов, таких как Comebacker, Blindingcan и Mimikatz, что отражает приверженность киберпреступность и финансовую эксплуатацию в сфере здравоохранения.
-----

Спонсируемые государством северокорейские злоумышленник, в первую очередь связанные с группой Lazarus, недавно начали использовать Medusa ransomware в своих продолжающихся операциях по вымогательству против сектора здравоохранения США. Исторически эта группа была связана с различными семействами программ-вымогателей, включая Maui и Play, но данные, полученные от Symantec и Carbon Black Threat Hunter Team, указывают на то, что они перешли к использованию Medusa, которая с момента своего запуска в 2023 году преступная хакерская группировка Spearwing использует программу-вымогатель как услугу. Medusa's operation позволяет аффилированным злоумышленникам внедрять программу-вымогатель в обмен на сокращение выплат выкупа, при этом уже задокументировано более 366 заявлений об атаках.

Medusa Ransomware была причастна к атакам по меньшей мере на четыре медицинские и некоммерческие организации по всей территории США с ноября 2025 года, при этом, по сообщениям, требования о выкупе в среднем составляли около 260 000 долларов. Конкретные цели включают некоммерческую организацию по охране психического здоровья и образовательное учреждение для детей, страдающих аутизмом. Степень причастности Северной Кореи к этим конкретным атакам остается неясной, поскольку они могут также включать действия других филиалов Medusa group.

Подгруппа Lazarus, известная как Stonefly, также известная как Andariel, исторически занималась шпионажем против особо ценных объектов, но примерно последние пять лет занималась программами-вымогателями. Несмотря на предыдущие обвинения, в которых подчеркивалась их деятельность с использованием программ-вымогателей, особенно против больниц США, они продолжали проводить дальнейшие атаки вплоть до конца 2024 года, осуществляя вторжения, которые не привели к развертыванию программ-вымогателей, но были финансово мотивированы.

В своих текущих кампаниях группа Lazarus использует множество сложных инструментов. К ним относятся Comebacker, пользовательский бэкдор и загрузчик; Blindingcan, Троянская программа для удаленного доступа; ChromeStealer, который нацелен на данные браузера Chrome; Curl, инструмент командной строки с открытым исходным кодом для передачи данных; Infohook, для кражи информации; и Mimikatz для credential dumping. Несмотря на то, что продолжающиеся атаки Medusa демонстрируют тактику, методы и процедуры (TTP), аналогичные прошлым операциям Stonefly, разнообразный набор инструментов усложняет атрибуцию из-за общего использования вредоносное ПО и методов различными группировками Lazarus.

Приверженность северокорейских актор к киберпреступность, особенно их готовность нацелиться на сектор здравоохранения, означает постоянный сдвиг в сторону использования потенциальных уязвимостей для получения финансовой выгоды. В отличие от многих киберпреступных группировок, которые могут избегать нападений на медицинские учреждения из-за проблем с репутацией, группу Lazarus, похоже, не останавливают такие этические соображения, подтверждающие их агрессивную позицию в области кибермогательства и эксплуатации.

#ParsedReport #CompletenessMedium
24-02-2026

The Package

https://www.veracode.com/blog/malicious-npm-package-hiding-in-plain-pixels/

Report completeness: Medium

Threats:
Typosquatting_technique
Process_hollowing_technique
Uac_bypass_technique
Fodhelper_technique
Amsi_bypass_technique
Runpe_tool
Nop_sled_technique
Steganography_technique
Quasar_rat
Supply_chain_technique

Victims:
Software supply chain, Npm developers

TTPs:
Tactics: 2
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1027, T1027.003, T1036, T1055.012, T1057, T1059.001, T1059.003, T1071.001, T1105, T1112, have more...

IOCs:
File: 16
Registry: 2
Command: 3
Path: 2
Url: 1

Soft:
NET Framework, slack

Algorithms:
sha256, base64, 3des, aes-256-ecb, aes, gzip

Functions:
Get-CimInstance, GetTask, GetFolder

Win API:
GetProcAddress, VirtualProtect, AmsiScanBuffer, GetThreadContext, SetThreadContext, ompress → in, decompress, AddVectoredExceptionHandler

Win Services:
WebClient, avastsvc

Languages:
powershell, swift

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносный пакет NPM, имитирующий законный "buildrunner", служит загрузчиком для продвинутых вредоносное ПО, включая Pulsar RAT. Вредоносное ПО, доставляемое с помощью пакетного файла из репозитория Codeberg, устанавливается в каталог автозагрузки Windows со случайным именем для обеспечения закрепление и использует сильную маскировку, чтобы избежать обнаружения. В нем используются методы UAC bypass Windows и сложные команды PowerShell, специально разработанные для обхода антивирусных мер, включая методы AMSI bypass и тройное шифрование критически важных данных.
-----

Вредоносный пакет NPM, typosquat законного пакета "buildrunner", служит загрузчиком для сложной вредоносная кАмпания. Вредоносное ПО встроено в стеганографические изображения в формате PNG и включает в себя Pulsar, Троянская программа удаленного доступа (RAT) и загрузчик process hollowing. Этот подход, использующий недавно опубликованные, но кажущиеся законными пакеты, направлен на то, чтобы обманом заставить разработчиков загрузить Backdoor.

Процесс установки показывает, что фактический вредоносный код отсутствует в самом пакете; пакетный файл, ответственный за удаление вредоносное ПО, извлекается из репозитория Codeberg во время установки. Этот пакетный файл записывается в каталог автозагрузки Windows со случайным именем файла, обеспечивая закрепление без предупреждения пользователя, поскольку он выполняется автоматически при входе в Windows. Выполняемые команды сильно запутаны, причем значительные части разделены между многочисленными переменными, чтобы избежать обнаружения программным обеспечением безопасности. Стратегия запутывания включает в себя использование комментариев-заполнителей, которые увеличивают размер файла и вводят аналитиков в заблуждение.

Ключевым используемым методом является использование обхода контроля учетных записей пользователей Windows (UAC) с помощью fodhelper.exe , позволяя вредоносное ПО получать административные привилегии без запроса пользователя. Этот метод дополняется методами вредоносное ПО, позволяющими вызывать PowerShell безголовым способом, что делает обнаружение еще более сложным.

Полезная нагрузка PowerShell работает с определенными командами, адаптированными для различных антивирусных программ, что указывает на уровень сложности и целенаправленности. Он использует различные методы для извлечения своей конечной полезной нагрузки из стеганографически закодированных изображений, причем одно изображение содержит скрипт PowerShell, предназначенный для обхода интерфейса проверки на вредоносное ПО (AMSI), демонстрирующий расширенные возможности обхода мер безопасности.

Последующая полезная нагрузка, сборка .NET, подтверждает свои злонамеренные намерения посредством process hollowing, внедряя код в законные процессы. Это выполняется с помощью серии закодированных вызовов API и Динамическое разрешение функций, что позволяет избежать жестко закодированных зависимостей, которые могут быть легко отмечены системами безопасности. Более того, конечная полезная нагрузка обладает множеством механизмов закрепление, специально разработанных для того, чтобы избежать обнаружения популярными антивирусными решениями.

В вредоносное ПО встроены три различных метода AMSI bypass, включающих низкоуровневые методы отладки, которые обходят традиционные меры обнаружения. Включение метода тройного шифрования для критически важных данных полезной нагрузки еще больше усложняет анализ и обнаружение.

#ParsedReport #CompletenessMedium
24-02-2026

How Tycoon 2FA Is Rewriting the Rules of Identity Theft: Not Just a Phishing Kit A Business Model

https://www.pointwild.com/threat-intelligence/how-tycoon-2fa-is-rewriting-the-rules-of-identity-theft-not-just-a-phishing-kit-a-business-model/

Report completeness: Medium

Threats:
Tycoon_2fa
Aitm_technique
Credential_harvesting_technique
Spear-phishing_technique
Dadsec_tool

Victims:
Enterprises, Government agencies, Cloud-first businesses, Financial services, Technology, Healthcare, Professional services

Industry:
Government, Financial, Healthcare, E-commerce

Geo:
India, Canada

TTPs:
Tactics: 8
Technics: 10

IOCs:
IP: 1

Soft:
Telegram, Gmail, Microsoft Teams, Burp Suite, cPanel, Azure AD, Laravel, Cloudflare Turnstile

Algorithms:
base64, aes

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, code: 4, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Tycoon 2FA - это усовершенствованный метод фишинг-атаки, использующий модель Фишинг как услуга (PhaaS) для обхода Многофакторная аутентификация (MFA) с помощью подхода Adversary-in-the-Middle (AiTM). Эта архитектура фиксирует сеансовые файлы cookie во время процесса аутентификации, позволяя злоумышленникам перехватывать активные сеансы без непосредственного компрометации учетные данные. Обнаруженный в августе 2023 года, Tycoon 2FA нацелен на такие платформы, как Microsoft 365 и Gmail, используя методы запутывания и антианализа, чтобы избежать обнаружения и усложнить атрибуцию.
-----

Tycoon 2FA представляет собой значительную эволюцию в методах фишинг-тестирования, в частности, благодаря своей модели Фишинг как услуга (PhaaS), которая позволяет актор с низкой квалификацией беспрепятственно обходить Многофакторная аутентификация (MFA). Вместо использования традиционных подходов Tycoon 2FA использует архитектуру Adversary-in-the-Middle (AiTM), облегчающую перехват сеанса, а не прямую компрометацию учетные данные. Служба фиксирует сеансовые файлы cookie в режиме реального времени, действуя в качестве ретранслятора во время процесса аутентификации, эффективно позволяя злоумышленникам перехватывать активные сеансы без необходимости Взлом пароля или развертывания вредоносное ПО.

Впервые обнаруженный в августе 2023 года, Tycoon 2FA стал доминирующим инструментом, ориентированным на такие платформы, как Microsoft 365 и Gmail, используя ошибочное представление о том, что включение MFA само по себе обеспечивает достаточную безопасность. Злоумышленники используют фишинг-страницы, размещенные на доменах с компрометация, где жертвам передаются законные запросы MFA. Когда пользователи одобряют эти уведомления, Tycoon 2FA фиксирует сеансовые файлы cookie, делая традиционные меры безопасности неэффективными. Такой подход привел к тысячам инцидентов с credential-harvesting в различных секторах, особенно в сфере финансов, технологий и здравоохранения.

В операции используются передовые методы запутывания и механизмы антианализа, позволяющие избежать обнаружения средствами безопасности. Это включает в себя агрессивную блокировку проверок с помощью динамического JavaScript, который предотвращает использование инструментов разработчика и выполняет дактилоскопию браузера для фильтрации трафика ботов. Кроме того, сервис включает в себя такие механизмы, как поддельные капчи и многодоменные архитектуры для обеспечения постоянного доступа и избыточности, что усложняет усилия по установлению авторства и затрудняет предприятиям точное определение источника нарушений.

Техническая основа Tycoon 2FA включает в себя настройку обратного прокси, позволяющую злоумышленникам размещать несколько фишинг-страниц одновременно, осуществляя эксфильтрация учетных данных с помощью запутанных POST-запросов. Эта сложная инфраструктура не только увеличивает масштаб атак, но и быстро адаптируется к методологиям защиты, делая обычные контрмеры неэффективными. Службы безопасности сталкиваются с проблемами из-за недостаточного обнаружения атак в стиле AiTM и привычной чрезмерной зависимости от MFA как автономного решения.