🤑 Помогу задонатить
Недавно нам на исследование поступил экземпляр вредоносного приложения, с помощью которого у пользователей Android похищают деньги (скриншот 1). В 2015 году студенты Дармштадтского технического университета создали приложение NFCGate для отладки протоколов передачи NFC-данных. Злоумышленники модифицировали данное приложение и стали использовать его в своих целях.
В этом году число атак с помощью NFC-технологии многократно увеличилось. Если раньше злоумышленники звонили пользователям и писали им в мессенджеры, теперь они находят своих жертв в чатах игр для детей.
Мошенническая схема выглядит следующим образом:
1️⃣ Ребенку в чате мобильной игры пишет неизвестный, общается и внедряется к нему в доверие.
2️⃣ Он сообщает ребенку о том, что можно бесплатно получить игровую валюту, если он установит на телефон мобильное приложение.
3️⃣ При открытии приложение запрашивает разрешение на установку в качестве основного приложения для NFC-платежей.
4️⃣ Злоумышленник сообщает ребенку о том, что транзакция не прошла и Центральный банк может заблокировать карту и доступ ко всем деньгам на счете.
5️⃣ Для того чтобы этого не произошло, ребенку нужно снять в банкомате все наличные и положить их на его банковскую карту, которую ребенку помогли открыть мошенники. При этом все «безопасно», ведь телефон находится в руках.
6️⃣ После того как ребенок подносит телефон к банкомату, ему сообщают новый пин-код от карты и требуют внести деньги на счет.
7️⃣ Происходит зачисление денег на карту мошенника, после чего злоумышленник через серию переводов самому себе на счета в разных банках уводит похищенные деньги.
Технические особенности
Для работы приложение запрашивает 3 разрешения:
➖ NFC — для доступа к системе оплаты по NFC;
➖ ACCESS_NETWORK_STATE — для проверки сетевого доступа;
➖ INTERNET — для подключения через WebSocket.
В манифесте приложения 3 активности:
➖ MainActivity;
➖ CardActivity (имя активности —
➖ CardHostApduService.
Приложение функционирует по следующему алгоритму:
1️⃣ В
2️⃣ Приложение переходит к
3️⃣ Общение банкомата с сервером управления реализовано в
4️⃣ Ожидается ответ от сервера. Пользователю при этом выводится информация: «
5️⃣ Если сервер недоступен или ответ не поступает более 10 секунд, команды кэшируются и поступают в очередь.
6️⃣ После чего команды транслируются банкомату.
7️⃣ Банкомат воспринимает приложение как реальную банковскую карту и производит выполнение APDU-команд, поступивших от сервера управления.
Как защититься от таких атак:
1. Устанавливайте приложения из доверенных источников: официальных магазинов приложений и сайтов производителей.
2. При установке приложений будьте внимательны к запрашиваемым разрешениям, в особенности к системе оплаты NFC, доступу к интернету, СМС-сообщениям.
3. Используйте антивирусные решения.
4. На устройствах детей пользуйтесь средствами родительского контроля для ограничения установки приложений.
5. Помните: приложение Центрального банка России не предназначено для выполнения NFC-платежей и выглядит иначе (скриншот 6).
#dfir #mobile
@ptescalator
Недавно нам на исследование поступил экземпляр вредоносного приложения, с помощью которого у пользователей Android похищают деньги (скриншот 1). В 2015 году студенты Дармштадтского технического университета создали приложение NFCGate для отладки протоколов передачи NFC-данных. Злоумышленники модифицировали данное приложение и стали использовать его в своих целях.
В этом году число атак с помощью NFC-технологии многократно увеличилось. Если раньше злоумышленники звонили пользователям и писали им в мессенджеры, теперь они находят своих жертв в чатах игр для детей.
Мошенническая схема выглядит следующим образом:
Технические особенности
Для работы приложение запрашивает 3 разрешения:
В манифесте приложения 3 активности:
PAYpunto 🤖);Приложение функционирует по следующему алгоритму:
MainActivity осуществляется проверка доступности интернета. Если доступа нет, выводится сообщение: «Ошибка: нет подключения к интернету».CardActivity, в которой осуществляется открытие index.html (скриншот 2). С помощью WebSocket устанавливается соединение с сервером управления, адрес которого прописан в connection.json (скриншот 3). Для защищенного соединения используется сертификат сервера из ресурсов приложения — server.pem. Если в процессе подключения к серверу произошла ошибка, подключение осуществляется по другому порту: wss://default-server-url:7000 (скриншот 4).CardHostApduService. При подключении телефона к банкомату он отправляет APDU-команды приложению. Далее осуществляется проверка доступности подключения к серверу управления. Если он доступен, формируется JSON и отправляется на сервер управления (скриншот 5).Пожалуйста, подождите, ваша карта находится в процессе активации».Как защититься от таких атак:
1. Устанавливайте приложения из доверенных источников: официальных магазинов приложений и сайтов производителей.
2. При установке приложений будьте внимательны к запрашиваемым разрешениям, в особенности к системе оплаты NFC, доступу к интернету, СМС-сообщениям.
3. Используйте антивирусные решения.
4. На устройствах детей пользуйтесь средствами родительского контроля для ограничения установки приложений.
5. Помните: приложение Центрального банка России не предназначено для выполнения NFC-платежей и выглядит иначе (скриншот 6).
#dfir #mobile
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8☃6🎄5🔥3🤡1
IoCs в дополнение к посту выше 🔼
IP
SHA-256
#dfir #mobile
@ptescalator
IP
45.11.27.203
85.208.208.86
85.208.208.196
193.124.125.215
213.108.4.96
213.108.4.104
213.108.4.113
213.108.4.115
213.108.4.125
SHA-256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#dfir #mobile
@ptescalator
🔥11❤8👍7
Используем IoC нестандартно. Часть 2. Ландшафт угроз 🧘♀️
Ранее мы рассказывали про то, как использовать индикаторы компрометации для Threat Hunting. В этот раз поговорим про ландшафт угроз и о том, как можно использовать IOC-фиды для его построения. Напомним, что ландшафт угроз ИБ — это совокупность фактических и потенциальных угроз, уязвимостей и рисков, которые могут повлиять на безопасность информационных систем организации.
Рассматривая связь между IOC-фидами и построением ландшафта угроз ИБ, можно предложить следующий подход. В течение заданного периода времени вы можете отслеживать поступающие срабатывания по индикаторам в рамках всех типов СЗИ. Далее, получив перечень срабатываний, вы можете провести над ними аналитику: с какими семействами и группировками связаны выявленные индикаторы, какие уязвимости они эксплуатируют и т. д. Изучив эти данные, вы получите первичное представление о том, кто и как таргетит конкретно вас. Дополнительно изучив, какие техники реализуют выявленные группировки и семейства, вы получите актуальный на данный момент времени ландшафт угроз.
Основные преимущества этого подхода — опора на подтвержденные события и возможность предсказать следующие шаги конкретных злоумышленников. Но есть и недостатки: привязка к существующим детектам и сокращение покрытия анализа до срабатываний на СЗИ. Если для конкретной техники или угрозы детект отсутствует или он не отработал, то такая активность может остаться незамеченной.
🤔 В рамках анализа реальных сработок аналитик может ответить на ряд вопросов на основании наблюдаемой активности:
🔵 Какие группировки таргетят нашу организацию? Релевантны ли для нас связанные с ними угрозы?
🔵 Какие семейства ВПО уже были зафиксированы в нашей инфраструктуре и какие техники они реализуют?
🔵 Какие техники атак применялись против нас на разных этапах Cyber Kill Chain?
🔵 Какие уязвимости злоумышленники пытались эксплуатировать? Актуальны ли они для нас?
Существует и второй подход к его построению. Он предполагает поиск потенциальных угроз без ожидания срабатываний, с опорой на данные TI-систем и аналитические отчеты. В этом случае фокус смещается: отслеживаются не конкретные атаки на организацию, а актуальные варианты атак на компании конкретного сектора экономики или региона. Логика в том, что если ваша организация функционирует в рамках определенной отрасли в определенной стране, то атаки, характерные для этой отрасли и этой страны, будут опасны и для вас.
Объем данных при таком подходе значительно больше, однако вместе с этим расширяется и видимость — как фактических, так и потенциальных рисков. Аналитик получает возможность выявлять угрозы заранее, до появления инцидентов в собственной инфраструктуре. И тут он может ответить практически на те же вопросы, но более широкие:
🔴 Какие группировки, релевантные для нашего сектора экономики/региона, наиболее активны?
🔴 Какие семейства ВПО входят в арсенал этих группировок и потенциально могут быть использованы против нас в будущем?
🔴 Какие вредоносные техники характерны для данных группировок на разных этапах атаки? Насколько они пересекаются с нашим текущим покрытием детектирования СЗИ?
🔴 Какие уязвимости активно эксплуатируются в нашем секторе экономики/регионе? Актуальны ли они для нас?
На практике оба подхода не противопоставляются друг другу, а используются совместно. Совмещая фактические срабатывания с информацией об угрозах для отрасли / региона, аналитик может:
🔴 Выявить, какие вредоносные техники релевантны для организации;
🔴 Определить, какие техники остаются недетектируемыми и требуют покрытия;
🔴 Оценить, какие угрозы уже актуальны, а какие с высокой вероятностью могут проявиться в будущем;
🔴 Сопоставить эксплуатируемые группировками уязвимости с реальным состоянием инфраструктуры.
Построение и анализ ландшафта угроз — хороший способ предусмотреть проактивные меры для защиты информационных систем, разработать качественную стратегию управления рисками и повысить общий уровень информационной безопасности организации.
#ioc #detect #tip
@ptescalator
Ранее мы рассказывали про то, как использовать индикаторы компрометации для Threat Hunting. В этот раз поговорим про ландшафт угроз и о том, как можно использовать IOC-фиды для его построения. Напомним, что ландшафт угроз ИБ — это совокупность фактических и потенциальных угроз, уязвимостей и рисков, которые могут повлиять на безопасность информационных систем организации.
Рассматривая связь между IOC-фидами и построением ландшафта угроз ИБ, можно предложить следующий подход. В течение заданного периода времени вы можете отслеживать поступающие срабатывания по индикаторам в рамках всех типов СЗИ. Далее, получив перечень срабатываний, вы можете провести над ними аналитику: с какими семействами и группировками связаны выявленные индикаторы, какие уязвимости они эксплуатируют и т. д. Изучив эти данные, вы получите первичное представление о том, кто и как таргетит конкретно вас. Дополнительно изучив, какие техники реализуют выявленные группировки и семейства, вы получите актуальный на данный момент времени ландшафт угроз.
Основные преимущества этого подхода — опора на подтвержденные события и возможность предсказать следующие шаги конкретных злоумышленников. Но есть и недостатки: привязка к существующим детектам и сокращение покрытия анализа до срабатываний на СЗИ. Если для конкретной техники или угрозы детект отсутствует или он не отработал, то такая активность может остаться незамеченной.
🤔 В рамках анализа реальных сработок аналитик может ответить на ряд вопросов на основании наблюдаемой активности:
Существует и второй подход к его построению. Он предполагает поиск потенциальных угроз без ожидания срабатываний, с опорой на данные TI-систем и аналитические отчеты. В этом случае фокус смещается: отслеживаются не конкретные атаки на организацию, а актуальные варианты атак на компании конкретного сектора экономики или региона. Логика в том, что если ваша организация функционирует в рамках определенной отрасли в определенной стране, то атаки, характерные для этой отрасли и этой страны, будут опасны и для вас.
Объем данных при таком подходе значительно больше, однако вместе с этим расширяется и видимость — как фактических, так и потенциальных рисков. Аналитик получает возможность выявлять угрозы заранее, до появления инцидентов в собственной инфраструктуре. И тут он может ответить практически на те же вопросы, но более широкие:
На практике оба подхода не противопоставляются друг другу, а используются совместно. Совмещая фактические срабатывания с информацией об угрозах для отрасли / региона, аналитик может:
Построение и анализ ландшафта угроз — хороший способ предусмотреть проактивные меры для защиты информационных систем, разработать качественную стратегию управления рисками и повысить общий уровень информационной безопасности организации.
#ioc #detect #tip
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥15❤10🥰7🫡1
Новое окно в темном режиме 🫣
В процессе мониторинга новых сетевых угроз в отделе сетевой экспертизы был замечен подозрительный трафик, который порождался файлом
После запуска на хосте открывался документ-приманка и инициировалось сетевое взаимодействие с API Google, причем внешне оно было похоже на легитимные запросы, а не на типичный обмен с C2. Эта история нас заинтриговала, поэтому мы решили углубиться в анализ образца и понять, что именно он делает и какую роль в этой схеме играют неожиданные сетевые запросы к Google 🔍
Сразу перейдем к поведенческому анализу. После запуска в директорию
🙆 После более внимательного взгляда на имена параметров все стало достаточно прозрачно: вредонос проставлял
Именно последствия работы этих скриптов мы в первую очередь и увидели в сетевом дампе (скриншот 5). Сначала обычным GET-запросом на C2
🌐 Такая тактика дает злоумышленнику устойчивый рычаг управления браузером. Как только пользователь «попался», атакующий получает возможность централизованно развернуть вредоносные политики и расширения либо настроить прокси для перехвата трафика. Самое неприятное — часть активности выглядит как легитимное администрирование, поэтому без контекста такую компрометацию довольно легко пропустить.
Stay tuned and happy hunting!
IoCs:
#network #C2 #phishing #AVLab
@ptescalator
В процессе мониторинга новых сетевых угроз в отделе сетевой экспертизы был замечен подозрительный трафик, который порождался файлом
INTIMACAO_2025_006647.exe. Он маскировался под PDF и в переводе с португальского означал «Вызов в суд» (скриншот 1). После запуска на хосте открывался документ-приманка и инициировалось сетевое взаимодействие с API Google, причем внешне оно было похоже на легитимные запросы, а не на типичный обмен с C2. Эта история нас заинтриговала, поэтому мы решили углубиться в анализ образца и понять, что именно он делает и какую роль в этой схеме играют неожиданные сетевые запросы к Google 🔍
Сразу перейдем к поведенческому анализу. После запуска в директорию
/Temp дропались несколько PowerShell-скриптов: Clean_policies, Get_token и Apply_cbcm. Суть работы первого заключалась в подготовке зараженной машины — зачистке реестра от уже существующих локальных политик и настроек различных Chromium-браузеров, а также перезапуске браузерных процессов для оперативного применения внесенных изменений (скриншот 2). После этого Get_token.ps1 обращался к удаленному серверу и вытягивал оттуда некий токен (скриншот 3). В завершение третий скрипт, Apply_cbcm (скриншот 4), записывал полученный токен в политики Chrome на уровне системного реестра.🙆 После более внимательного взгляда на имена параметров все стало достаточно прозрачно: вредонос проставлял
CloudManagementEnrollmentToken и включал CloudPolicyOverridesPlatformPolicy, то есть явно переключал браузер на приоритет облачных политик. Такой набор названий практически прямым текстом указывал на использование Chrome Browser Cloud Management (судя по блогу Google Cloud, этот механизм должен был бороться со злом, а не примкнуть к нему) и на то, что основная цель здесь — привязать браузер к удаленной консоли управления, созданной злоумышленником.Именно последствия работы этих скриптов мы в первую очередь и увидели в сетевом дампе (скриншот 5). Сначала обычным GET-запросом на C2
servidorunico.com возвращался тот самый enrollment-токен. Далее, после того как значение оказывалось прописано в реестре, браузер автоматически поднимал следующий этап цепочки — сам инициировал регистрацию в инфраструктуре Google и отправлял POST на API-эндпоинт с параметром request=register_browser. Ключевой маркер в этом запросе находился в заголовке Authorization, где токен передавался как GoogleEnrollmentToken, и именно это превращало внешне легитимный трафик к Google в индикатор привязки браузера к удаленному облачному управлению.Stay tuned and happy hunting!
IoCs:
SHA256: 4442e1b545f0a571af113b0cc7455ecba1a603c81bbf84a52b9e61d332f97233
C2: servidorunico.com
#network #C2 #phishing #AVLab
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥15❤8🥰5
Почему не было опроса в прошлую пятницу? 😨
Anonymous Poll
12%
После предыдущего про Конституцию постучали 🍆
11%
Расследовали инцидент 🕵️
5%
Были заняты покупкой подарков 🎁
6%
Украшали елку иоками 🎄
10%
19 декабря — Всемирный день без опросов 🙈
6%
Юристы запретили ⛔️
2%
Дали возможность другим сделать свои опросы ❓
1%
Проводили технические работы 👨🔧
28%
Пили сок на корпоративе 🧃
19%
Ну не было и не было 🤷
😁17🎄7☃5
«Налоговая проверка» из Восточной Азии 🚪
В начале исследования команда Threat Intelligence PT ESC обнаружила атаки на несколько российских банков. Все замеченные сообщения отправлялись с домена
Сам домен
Вредоносные письма содержали уведомления о налоговой проверке якобы от Федеральной налоговой службы (ФНС) и побуждали пользователей скачать «пакет документов», приложенный к сообщению (скриншот 2).
Архивы содержали несколько DLL-файлов,
👀 Особый интерес представляют три файла:
• Проверьте этот файл.exe —
• QQMusicCommon.dll —
• 9LmcIWuG.png —
Файл
На VirusTotal он загружался под разными именами, в основном из России:
•
•
•
Также он был загружен из Тайваня с именами
При запуске .exe с помощью техники DLL-sideloading подгружается
Вредоносная DLL является дроппером, который считывает и расшифровывает полезную нагрузку из файла 9LmcIWuG.png и запускает ее.
Во всех случаях, которые мы обнаружили, полезной нагрузкой являлась ValleyRAT, ассоциированная с китайской киберпреступной активностью. В нашем случае в качестве C2 выступал IP-адрес
В процессе дальнейшего изучения мы увидели, что помимо сэмплов «
Хотя часть файлов, нацеленных на Индию, использовали тот же C2, во время исследования архивов, связанных с атаками на Индию, мы обнаружили дополнительный C2, который применялся преимущественно в этих атаках —
Помимо Индии, некоторые файлы были загружены из Непала и Индонезии, но большая часть все же была из Индии. Атаки на индийские компании начались раньше, чем на российские — в начале декабря. На момент атак C2
Учитывая TTP, используемое ПО, а также вероятный фишинговый ресурс, мы предполагаем, что за атакой может стоять восточноазиатская финансово мотивированная группировка Silver Fox 🦊
#TI #Phishing #APT
@ptescalator
В начале исследования команда Threat Intelligence PT ESC обнаружила атаки на несколько российских банков. Все замеченные сообщения отправлялись с домена
onmbv.com, например: TAX@notifications.onmbv.com, TAX@news.onmbv.comСам домен
onmbv.com был зарегистрирован 2025-09-14. Если перейти на сайт, то ONMBV позиционирует себя как масштабируемая инфраструктура с современными технологиями. При этом сам сайт выглядит как заглушка для фишинга с неработающим функционалом, кроме самого базового отображения с типичным интерфейсом (скриншот 1).Вредоносные письма содержали уведомления о налоговой проверке якобы от Федеральной налоговой службы (ФНС) и побуждали пользователей скачать «пакет документов», приложенный к сообщению (скриншот 2).
Архивы содержали несколько DLL-файлов,
.exe и .png. Например, файл -ФНС России.zip (SHA-256: 81e64f5c5b06dd415e4fd60defac5f1573d5c9d83094181bf359f9e5af8765da) содержал файлы со скриншота 3.👀 Особый интерес представляют три файла:
• Проверьте этот файл.exe —
2b6679179a67b3c4b24e4708802a15b3bd3655a60aa0de4ce5b39b6814ec31d1• QQMusicCommon.dll —
9a037129dd9fd9f2f776c7d996b82dac76042ae0f69c765522ff2f0904d726da• 9LmcIWuG.png —
dc7b25b00804ca264648ea5e280bfec4d818495ad24daa11daa6069a0621d317Файл
.exe сам по себе является чистым .exe с иконкой PDF в качестве декоя.На VirusTotal он загружался под разными именами, в основном из России:
•
Документ.exe•
Откройте и ознакомьтесь с файлом.ex_•
坏抉抗批技快扶找.exe (упрощенный китайский)Также он был загружен из Тайваня с именами
Namelist.exe и Откройте.exe.При запуске .exe с помощью техники DLL-sideloading подгружается
QQMusicCommon.dll, которая притворяется компонентом популярного в Китае музыкального приложения-сервиса QQ Music. Сама библиотека обфусцирована с использованием Control-Flow Flattening.Вредоносная DLL является дроппером, который считывает и расшифровывает полезную нагрузку из файла 9LmcIWuG.png и запускает ее.
Во всех случаях, которые мы обнаружили, полезной нагрузкой являлась ValleyRAT, ассоциированная с китайской киберпреступной активностью. В нашем случае в качестве C2 выступал IP-адрес
207.56.138.28 из Гонконга.🐀 ValleyRAT — это вредоносная программа типа RAT (троян удаленного доступа), написанная на C++. Она позволяет хакерам незаметно управлять зараженным компьютером, следить за экраном, красть данные и загружать дополнительные модули. Некоторые источники называют ValleyRAT вариантом старого Gh0st RAT, однако это отдельное ПО с похожим функционалом. Впервые была замечена в начале 2023 года, распространяется через фишинг и поддельные установщики популярных программ.
В процессе дальнейшего изучения мы увидели, что помимо сэмплов «
ФНС» у нас есть множество архивов «CBDT», например «CBDT.zip». В нашем случае CBDT — Central Board of Direct Taxes, индийский аналог ФНС.Хотя часть файлов, нацеленных на Индию, использовали тот же C2, во время исследования архивов, связанных с атаками на Индию, мы обнаружили дополнительный C2, который применялся преимущественно в этих атаках —
108.187.37.85. Файлы, связанные с этим C2, использовали тот же kill chain: .exe, DLL-sideloading и «картинки» с ValleyRAT.Помимо Индии, некоторые файлы были загружены из Непала и Индонезии, но большая часть все же была из Индии. Атаки на индийские компании начались раньше, чем на российские — в начале декабря. На момент атак C2
108.187.37.85 также находился в Гонконге, однако на данный момент ASN изменился (сервер больше не расположен в Гонконге).Учитывая TTP, используемое ПО, а также вероятный фишинговый ресурс, мы предполагаем, что за атакой может стоять восточноазиатская финансово мотивированная группировка Silver Fox 🦊
#TI #Phishing #APT
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥16🎄9☃7❤1👍1🤡1
IoCs в дополнение к посту выше 🔼
IP
Архивы
#TI #ioc #Phishing #APT
@ptescalator
IP
207.56.138.28
108.187.37.85
Архивы
0f4da8c2fdd9aaefba2c1d0f6337721ac403bfc7e2177bc38b605e035bfadf60
0f84ecd6bd04a4b5913d305f767f56e53087156ab4f1f4beb128ae17a16dc1d1
1086d5aaced335416cedc3d9ec1ca9aad77afbccc49aa4a4460faf74ee15f0d1
236fa94fa00681030feab630da5e31b5cbefcdbe59d05f010daaa0ec708fcf77
3a7d55c863db954943a43a1a1dd04b8c48f56e6d24f3f012e1c89c235ae44b7f
3d48fdc9f7c1f4b29436ff47c3d5ef493970ca77e4e79f93df85fc402ea82aef
3d20ccf0e05679d1bf088ca78b3ffe9227addad049c46b33bbfa1a2437b8ac62
51379a11387e751a378d405025a66d3514bcf3be85c1bce39666ce685e9ea58f
56a88209101dbf0ec53cc9a1c7a7cae706bbd752d18b6697798a7adf232e7fc7
701f0faf0ec6ff9897ca57ca432ed706e7dcd66031a9562ad4dba7ac1c18d654
81e64f5c5b06dd415e4fd60defac5f1573d5c9d83094181bf359f9e5af8765da
86ea0c005ad74b10fc97af3f7888475c8edab7bdef23b00e5f96bd5d85126c4f
a59d51bf883fb55b2b6b71599aa9da06cac939144f60ab5b19adf0c6f20daa88
a1ed64257af8e9611e06ac3cfd9124eae643f200dd9a04d09a89846618d365dc
a7989bcd4d80bc63d0dbf0477ea518adc38a979c81fb54b104899ec40e93cc51
b76d9da3f165e39706ac18bf0b5c63391a10895a98aa1d94ae018a459bace1fa
bb14e58401fd1d9f49f53e3824873efd4d5e4abb854d0916881fe010eca71c01
bc06467cd87e0b3f3d8fa61a1923a1ed792be53e861f669a55e8d6611ccef139
bff760e249b5dc853d0bbdbb880da92af5b6c662641c678ef7766eb329d25500
095c63062309fc53186bffbbb7b2b0c7665f27b73b809e9cb1818a4157baa8a8
1c5dffd48c2a7408a87cc7b8767395ff234a96f6a9e95a7fb807624f4c89ef2e
25111d40ae6dd2388f044068f2d13464d3c0c84d1d371f7e237e9a3c773fcaaf
2a035ef28877e8eb10bb1fe59aad0080b902cb5fa9ca307c4208afed45cbcd50
3296bd88e0a85ebad4f429878bf8bca16ac43e609133b4781f88a339c37bfe9f
50dd0af7bae4f476b757097f0730ed5d297799b34e53aafeaa14e5be73921234
628180916e70a07df3de917fcd2038bcf645923523307f4c5ca50595f4917eb8
83f56c57101a3a524cd3da2aba762acb4a72e651290b0b5caaf022a477a30e84
9e75b289d692968de0f951323f5e45d38b758ecf247adb39370f699cb9ee857a
a8f0d406c3f0d5e0bbac8e014e6dc79ba9f195a4490653835906383af3747856
b5210853def4430a10b88dc669b123dbbd91e290e88f8942ac1bbe54f1508a1f
e0c36e483a1a80dfe7e3b2ffa5e00cd4e01208ed7311f7e2a403878bbe1c270c
e416e872086c2578d88e0a096fef613b88a68a57b220cc33d5ae9bd452355937
ea11cfbf1ac6e77506ff7b904056e9034599fe2e78bd3fa56b082dec7abaf49f
ec11e3db546c0738337123ef39048b207534be052fad9085f39fc6556431a45d
f74fae0fad77f7b4f4be37cd305c8f07d33098e82a0405ee37131ef0a975ef37
#TI #ioc #Phishing #APT
@ptescalator
❤12👍11🔥9🙏1🤡1
Как вам первое января 2026-го? 🎅
Anonymous Poll
8%
Меня уже шифруют 🔐
10%
Меня еще не шифруют 🤷♀️
16%
Я уже сам зашифровался 🥴
17%
Выключил инфру перед праздниками 😴
5%
Расследую инцидент под оливье 🥗
16%
Это будет сложный год 😣
8%
Сок закончился 🧃
7%
Мне не до опросов 😡
13%
А что, уже? 😨
🎄16☃8🎅7😁3❤1🤡1