После обмена любезностями к перепалке между США и КНР по поводу обвинений в тайных кибероперациях и кибершпионаже подключилась Южная Корея.

Национальная разведывательная служба Южной Кореи (NIS) заявила об обнаружении вредоносного кода, встроенного в микросхемы приборов для измерения погоды, произведенных в Китае и используемых в работе Корейской метеорологической службы.

Представитель метеорологической службы сообщил национальной телекомпании Южной Кореи KBSKBS, что вредоносный код был обнаружен четыре месяца назад в устройстве наблюдения китайского производства, похожем на AWS.

На деле, как поясняют южнокорейцы, это шпионский чип с вредоносным кодом, способный осуществлять контроль аудиосигналов, фиксацию телефонных разговоров или взлом.

Как отмечают в NIS, в прошлом корейцам приходилось уже иметь дело с китайскими бэкдорами. Однако последний инцидент стал первым случаем обнаружения аппаратной закладки в китайском оборудовании.

Новая находка стала поводом для масштабной проверки более 10 000 единиц оборудования из КНР, используемого в госучреждениях. В NIS заявили, что планируют опубликовать результаты расследования чуть позже в этом году.

Стоит отметить, что шпионская истерия в Южной Корее начала раздуваться еще раньше, когда месяцем ранее NIS выдала аналогичные сообщения по итогам конференции по инфобезу, которым тогда не придали должного внимания.

Безусловно, такая настойчивость со стороны Кореи в продвижении инфоповода о тотальном шпионаже со стороны КНР имеет корни далеко за пределами полуострова.

А учитывая, что обстоятельства обнаружения аппаратной закладки не раскрываются, следует полагать, что информацию им по всей видимости подкинули партнеры.

В новой кампании с использованием вредоносного ПО HiatusRAT злоумышленники атаковали сервер, принадлежащий Министерству обороны США.

Как считают в Black Lotus Labs компании Lumen, атака носила разведывательный характер, ведь ранее воздействия были направлены на организации из Латинской Америки и Европы и использовались для компрометации корпоративных маршрутизаторов DrayTek Vigor VPN.

Кроме того, эксперты отметили, что разведывательные усилия кампании внезапно изменились в период с середины июня по август, поскольку была атакована система военных закупок США, а также некоторые организации, базирующиеся в Тайвани.

Образцы HiatusRAT были перекомпилированы для различных архитектур и размещены на новых VPS причем один из этих узлов использовался в операции передачи данных с сервером военного ведомства США, предназначенным для предложений и подачи заявок на контракты.

Вероятно, злоумышленники нацелены общедоступную информацию о военных требованиях или просто пытаются найти информацию об организациях, связанных с оборонно-промышленной базой США текущих и будущих военных контрактов.

Эта кампания следует за ранее проведенной серии атак, в результате которых более сотни предприятий, в основном из Европы, Северной и Южной Америки, были заражены HiatusRAT для создания скрытой прокси-сети.

Вредоносное ПО в основном используется для установки дополнительных полезных нагрузок на зараженные устройства и превращения скомпрометированных систем в прокси SOCKS5 для связи с сервером управления и контроля.

В целом, как подчеркнули в Lumen, это смещение в сборе информации и предпочтениях в отношении целей соответствует стратегическим интересам Китая.

Более 3000 серверов, по данным VulnCheck, подвергаются риску атак с использованием нового эксплойта для исправленной CVE-2023-32315.

Openfire, поддерживаемый Ignite Realtime, представляет собой кроссплатформенный сервер для совместной работы в реальном времени, написанный на Java, использующий протокол XMPP и администрирование через веб-интерфейс.

Уязвимость высокой серьезности была обнаружена в консоли администрирования Openfire и связана с обходом пути через среду настройки.

Она позволяет неаутентифицированным злоумышленникам получать доступ к ограниченным страницам в консоли администратора.

Проблема обусловлена отсутствием в Openfire защиты от определенной нестандартной кодировки URL-адресов для символов UTF-16, которая не поддерживается веб-сервером - поддержка была добавлена без обновления защиты.

Затронуты все версии Openfire, начиная с версии 3.10.0, выпущенной в апреле 2015 года, и заканчивая версиями 4.7.5 и 4.6.8, выпущенными в мае 2023 года для исправления уязвимости.

Уязвимость использовалась в злонамеренных атаках более двух месяцев.

Было замечено, что злоумышленники создавали новые учетные записи пользователей консоли администратора для установки плагина с удаленной веб-оболочкой, позволяющей выполнять произвольные команды и получать доступ к любым данным на сервере.

Доступные до настоящего времени эксплойты, нацеленные на CVE-2023-32315, реализуют одну и ту же схему.

Однако VulnCheck обнаружили новый вариант эксплойта, который не требует создания учетной записи администратора.

Кроме того, исследователи выявили более 6300 серверов Openfire в Интернете, причем около 50% серверов используют уязвимые версии.

Поскольку дефект безопасности позволяет неаутентифицированному злоумышленнику получить доступ к конечной точке администрирования плагина, злоумышленник может загрузить плагин напрямую, а затем получить доступ к веб-оболочке, также без аутентификации.

Такой подход не оставляет следов входа в систему в журналах аудита безопасности и предотвращает запись уведомления о загруженном плагине.

Несмотря на то, что вредоносная активность может быть видна в openfire.log, злоумышленник может использовать обход пути для удаления журнала через веб-оболочку, в результате чего только сам плагин остается единственным индикатором компрометации.

Как отмечают ресерчеры, уязвимость уже эксплуатировалась, вероятно, даже известным ботнетом, и учитывая множество доступных в сети уязвимых систем, предполагается, что эксплуатация продолжится и в будущем.

Исследовательская группа Cybernews раскрыла инцидент, связанный с обнаружением открытого экземпляра Kibana с конфиденциальной информацией в отношении Belcan, его сотрудниках и внутренней инфраструктуре, включая и доступ с правами суперадминистратора.

Допущенная ошибка могла привести к серьезной атаке на цепочку поставок. Ведь Belcan - это критически важный гособорон и аэрокосмический подрядчик, реализующий решения в области проектирования, цепочки поставок ПО, производства и цифрового инжиниринга.

Компания с доходом в 950 миллионов долларов является стратегическим партнером более чем 40 федеральных агентств США.

Kibana представляет собой панель визуализации для системы поиска и анализа данных ElasticSearch. Эти системы помогают предприятиям обрабатывать большие объемы данных.

Утечка стала возможно после проведения пентеста, результаты которого остались открытыми вместе с учетными данными администратора, хешированными с помощью bcrypt.

Данные свидетельствуют о том, что источником утечки, вероятно, была утилита, используемая Belcan для сканирования и мониторинга инфраструктуры на наличие уязвимостей.

Она содержала: электронную почту, имена пользователей, роли и пароли администраторов, адреса внутренней сети, имена хостов и IP-адреса внутренней инфраструктуры, уязвимости и действия, предпринятые для их устранения.

В совокупности доступная информация могла позволить злоумышленникам идентифицировать уязвимые системы, которые не были исправлены, а также предоставить им доступ к учетным данным с привилегированным доступом, что значительно упрощает и ускоряет потенциальную атаку на организацию.

Утечка Belcan представляет значительный риск для более широкого круга организаций из числа клиентов, включая аэрокосмические, оборонные компании и госучреждения США, которые могут потенциально стать жертвами атак со стороны АРТ или финансово-мотивированных групп.

Кроме того, исследователи также заметили в утекших данных упоминания, свидетельствующие о том, что некоторые уязвимости были обнаружены, но не исправлены компанией своевременно.

Cybernews проинформировала Belcan об обнаруженных уязвимостях, после чего компания предприняла меры для устранения проблем, какие - не стала раскрывать.

Но будем посмотреть.

Ресерчеры из Group-IB раскрыли подробности кампании с использованием 0-day в WinRAR, в рамках которой киберпреступники  с апреля 2023 года нацеливались на трейдеров.

Общее количество зараженных устройств, как и сумма возможного финансового ущерба остаются неизвестными, при этом до 130 устройств все еще заражены.

10 июля 2023 года в ходе исследования инцидентов с вредоносным ПО DarkMe исследователи Group-IB обнаружили ранее неизвестную уязвимость при обработке файла формата ZIP программой WinRAR.

Воспользовавшись ей, злоумышленники смогли создать ZIP-архивы, которые служили носителями различных семейств вредоносных ПО, включая DarkMe, GuLoader и Remcos RAT, и распространялись на тренерских форумах.

Она позволяла им подделывать расширения файлов, а это означает, что они могли скрыть запуск вредоносного скрипта внутри архива, маскирующегося под файлы jpg, txt или любой другой формат.

После извлечения и запуска вредоносное ПО позволяет злоумышленникам снимать деньги со счетов брокеров. 

Причем киберпреступники использовали 0-day для доставки того же инструмента, который использовался в кампании DarkCasino, описанной NSFOCUS (Часть 1, Часть 2).

Обнаружив ошибку обработки при открытии файла в ZIP-архиве, которая была использована злоумышленниками как неуказанный вредоносный функционал, и оценив выявленную уязвимость безопасности, Group-IB немедленно уведомила RARLAB о своих выводах.

Позже 15 августа MITRE присвоила этой уязвимости идентификатор CVE-2023-38831.

Команда RARLAB оперативно отреагировала на поступивший запрос и в кратчайшие сроки устранила уязвимость.

Бета-версия патча вышла уже 20 июля 2023 года, а последняя обновленная версия WinRAR (версия 6.23) была выпущена 2 августа.

Несмотря на то, что исследователи смогли идентифицировать троянца DarkMe, который предположительно связан с EvilNum и распространяется вместе с широко используемым инструментом удаленного доступа, окончательно связать кампанию с этой финансово мотивированной группой не удается.

Но тем не менее, наблюдение за кампанией продолжается и Group-IB обещает делиться результатами по мере расследования.

Специалисты Symantec Threat Hunter обнаружили новый метод атаки на цепочку поставок программного обеспечения, направленный против организаций, преимущественно расположенных в Гонконге и других регионах Азии.

Серии кибератак и методу присвоили название Carderbee, в ходе которой киберпреступники использовали троянизированную версию легитимного программного обеспечения EsafeNet Cobra DocGuard Client для внедрения в сетях жертв популярного бэкдора PlugX.

Кроме того, злоумышленники использовали вредоносное ПО, подписанное легитимным сертификатом Microsoft.

Ранее подобная тактика уже была замечена ESET, которая сообщала о взломе неизвестной игорной компании в Гонконге в сентябре 2022 года.

Тогда предполагалось, что за атакой стояла китайская группа угроз Lucky Mouse.

Однако последняя кампания, которую Symantec обнаружила уже в апреле 2023 года, не позволяет с уверенностью связать ее с вышеупомянутым актором поскольку использование PlugX различными китайскими хакерскими группами затрудняет атрибуцию.

Как сообщают специалисты, в ходе последних атак было заражено около 100 компьютеров, хотя приложение Cobra DocGuard Client было установлено примерно на 2000 конечных точках, что указывает на таргетированный характер воздействия злоумышленников и ориентацию на цели более высокой ценности.

В одном из таких случаев злоумышленники использовали уязвимость для развертывания загрузчика с цифровым сертификатом от Microsoft, который затем использовался для извлечения и установки PlugX с удаленного сервера.

Пока неясно, где базируется Carderbee, каковы его конечные цели и есть ли у него связи с Lucky Mouse. Большинство деталей об этой группе остаются неизвестными.

Впрочем, и на связь с Китаем пока указывает только использование злоумышленниками PlugX.

Мы, как настоящие нерды, безусловно уважающие вселенную D&D и вообще классические RPG в изометрии, совершенно не могли пройти мимо свежей Baldur's Gate 3, в связи с чем хотим поделиться своим кратким мнением.

Нет, мы, конечно, знали кто такие Larian Studios, и даже знакомились с Divinity: Original Sin. И тем не менее, вся эта боевка в Baldur's Gate 3 все равно для нас выглядит как винрарная Игра в Жижу:
- У меня випчик золотой был, я спиной к северу стоял! Север золото не режет!
- Сдурел что-ли, север-то там!
- А-а, мы же в длинную играем...

The Record, агитлисток вашингтонского обкома, неудачно прикидывающийся инфосек-изданием, выпустил подкаст с ошеломляющим заголовком "Илья Сачков против Кремля", ремейк мультипликационного блокбастера "Баба Яга против!" 1979 года выпуска.

В подкасте рассказывается как морфин потек в сачковские вены, сам Илья Константинович сравнивается с Суперменом, а основным лейтмотивом проходит идея, что Сачкова закрыли за то, что он "выступил с обвинениями в адрес Кремля в 2021 году".

Приводится куча мнения заседающего в настоящее время на Кипре Игоря Каткова, который представлен как один из двух основателей Group IB. На Волкова забили, на Писемского тем более. Про обыски у Сачкова еще в 2016 году и не вспоминали даже.

При всем нашем неоднозначном отношении к Сачкову (мы его то жестко троллили, то искренне хвалили) должны признать, что такая тупорылая статья в ангажированном американском издании на пользу ему явно не пойдет. Поэтому когда ему будут отказывать в УДО лет через 8 пусть поблагодарит журналистов The Record. И немного Каткова.

Тем временем пришла пора обновить наш пост от 31 июля, в котором приводилось число в 540 компаний, пострадавших от атак вымогателей из Cl0p через дырку в MOVEit Transfer.

На днях Resecurity подогнали новую статистику. По состоянию на 23 августа число пострадавших коммерческих и государственных организаций оценивается в 963 штуки, утечки затронули 58 миллионов людей. Среди жертв - три компании из Большой Четверки (Deloitte, Ernst & Young и PWC), Shell, Deutsche Bank, Sony, Siemens, British Airways, Минэнерго США и прочие и прочие.

Вот это мы понимаем, погуляли на все деньги.

Ведущая южнокорейская инфосек компания Ahnlab выкатила на гора большой отчет о последней активности Andariel, специализирующейся на кибершпионаже подгруппы самой известной северокорейской APT Lazarus.

Тот самый случай, когда комментировать - только портить. Поэтому читайте на здоровье, благо онлайн-переводчики с корейского работают прекрасно.

В продолжение темы APT Lazarus - Cisco Talos выпустили отчет в двух частях (1, 2) о киберкампании северокорейской хакерской группы 2023 года, направленной на магистральных Интернет-провайдеров и организации здравоохранения в Европе и США.

Атаки с использованием уязвимости CVE-2022-47966 в Zoho ManageEngine начались всего через 5 дней после появления в паблике ее PoC. После успешной эксплуатации и получения первоначального доступа жертве загружался QuiteRAT - дальнейшее упрощенное развитие используемого Lazarus ранее MagicRAT, который имеет размер в 5 раз меньше предшественника.

В ходе дальнейшего изучения вредоносной инфраструктуры, используемой в данной киберкампании, исследователи обнаружили новый троян удаленного доступа, который используется подгруппой Andariel, получивший название CollectionRAT.

Также Talos заявили, что "Lazarus все больше полагается на инструменты с открытым кодом" и в качестве примера привели платформу DeimosC2 на базе GoLang, аналог CobaltStrike и Sliver, а также инструмент обратного туннелирования PuTTy Link.

Тащемта Lazarus продолжает оставаться, пожалуй, самой активной APT в мире, постоянно развиваясь и совершенствуя свои вредоносные инструменты, инфраструктуру.

͏Редакторы канала SecAtor пилят новый пост. Аж пичот.

В догонку к раскрытым ресерчерами из Group-IB подробностям кампании с использованием 0-day в WinRAR, о которых мы сообщали на прошлой неделе, на днях был представлен PoC для упомянутой CVE-2023-38831.

Тем не менее, наблюдение за кампанией, нацеленной на криптотрейдеров, продолжается, как и сама кампания, к которой в ближайшее время присовокупятся и новые инциденты с учетом последних новостей.

Но будем посмотреть.

Ресерчеры из DevSecOps Phylum обнаружили семь вредоносных пакетов в Crates, официальном репозитории пакетов для Rust, что стало вторым инцидентом после того, как в мае 2022 года Rust Security Response и команда crates сообщили о существовании вредоносного крейта rustdecimal.

По мнению ресерчеров, новые находки могут свидетельствовать о признаках подготовки к более широкой кампании. Все семь пакетов изначально были опубликованы без содержимого, а затем в течение нескольких дней получали дополнительные обновления с подозрительным кодом.

Функционал кода был направлен на тайный сбор информации о зараженных платформах, отправляя данные в Telegram-канал. Все выявленные пакеты использовали опечатки (названия, похожие на названия более популярных библиотек) для того, чтобы обманом заставить разработчиков случайно имплементировать их в свои проекты.

Полагаясь на практику наблюдения за аналогичными кампаниями, нацеленными на другие репозитории пакетов, Phylum ожидает, что в последующем злоумышленник будет отправлять обновления с более вредоносным контентом после идентификации систем, достойных заражения.

Phylum пока не предоставили никаких подробностей о злоумышленнике, но отметили о своих опасениях по поводу возможной активности северокорейских APT, которые стремятся скомпрометировать разработчиков и использовать их машины для вторжений в крупные компании или для атак на цепочки поставок.

Ведь буквально в конце июля GitHub опубликовал предупреждение о том, что северокорейские хакеры выдают себя за инженеров-программистов и просят разработчиков известных компаний работать над совместными проектами. Многие из этих проектов содержали вредоносное ПО или импортировали вредоносные пакеты npm (JavaScript). 

Поскольку Rust становится все более популярным среди компаний-разработчиков ПО, стоит ожидать аналогичного внимания к экосистеме со стороны киберпреступников.

В виду того, что в Crates используются те же «слабые» методы отправки пакетов, что и в npm и PyPI, экосистема Rust имеет неплохой потенциал для эксплуатации.

Anonymous Sudan решили отвлечься от наведения порчи на инфраструктуру Кении и вчера на целый час завалили Twitter.

В связи с этим хотим обратиться к расовым суданским хакерам на русском и арабском языках.

Товарищи сыны суданского народа! Не могли бы вы не трогать Twitter, мы там читаем новости про информационную безопасность. Спасибо!

الرفاق أبناء الشعب السوداني! هل يمكنك ألا تلمس تويتر، فنحن نقرأ أخبارًا حول أمن المعلومات هناك. شكرًا لك!

Почти год назад мы писали, как LockBit сами стали жертвой утечки. Один из разработчиков в команде вымогателей слил исходники новой версии ПО LockBit 3.0, включая и сборщик для новейшего шифровальщика.

Наши тогдашние предположения о том, что ransomware широко расползется по киберподполью подтвердили исследователи из Лаборатории Касперского, которые отследили и изучили более сотни новых вариантов, созданных с помощью утекшего LockBit 3.0 Ransomware Builder.

По факту этот инструмент позволял любому создать свою собственную версию программы-вымогателя.

Сразу после утечки исследователи ЛК в ходе реагирования на инцидент обнаружили вторжение ransomware, которая использовала код Lockbit 3, но с совершенно другой схемой вымогательства выкупа.

Злоумышленник использовал записку о выкупе с заголовком, связанным с ранее неизвестной группой под названием NATIONAL HAZARD AGENCY.

В обновленной записке о выкупе была прямо указана сумма, подлежащая уплате за получение ключей расшифровки, а также перенаправление в службу Tox и электронную почту, в отличие от LockBit, которая, как правило, не упоминала в записке сумму и имела собственную платформу для переговоров.

Причем NATIONAL HAZARD AGENCY - далеко не единственная банда киберпреступников, которая нашла применение утекшему в сеть сборщика LockBit 3.0, среди других злоумышленников отметились, как известно, Bl00dy и Buhti.

Телеметрия Лаборатории Касперского зафиксировала в общей сложности 396 различных образцов LockBit, из которых 312 артефактов были созданы с использованием просочившихся сборщиков.

Причем в 77 образцах в записке о выкупе не упоминается LockBit. Были идентифицированы и другие образцы, созданные с использованием неизвестных билдеров, датированные июнем и июлем 2022 года.

Измененная записка о выкупе без ссылки на Lockbit или с другим контактным адресом (почта/URL), безусловно, указывает на возможное злоупотребление конструктором другими лицами, кроме «оригинального» Lockbit.

Один из крупнейших в мире провайдеров облачных и хостинговых услуг Leaseweb сообщил о восстановлении критических систем после недавнего нарушения безопасности.

Голландский облачный провайдер сообщил о проведении расследования, связанного с обнаруженными признаками аномальной активности в некоторых частях его инфраструктуры.

Заподозрив неладное, Leaseweb отключил некоторые из затронутых систем для снижения рисков безопасности.

Судя по контексту, какие-то системы все-таки затронуты и есть потерпевшие, раз компания привлекла к работе спецов Digital Forensics and Incident Response (DFIR).

Отключение некоторой части облачной инфраструктуры, привело к простою небольшого числа облачных клиентов и, как сообщает поставщик, его команда трудится над восстановлением критически важных систем, пострадавших в результате этого инцидента.

Представители Leaseweb пока отмалчиваются и не разглашают каких-либо деталей, скудно комментируя, что никакие данные о клиентах или компании не утекли и не были утеряны.

Однако один из клиентов - ATPS Online, предоставляющая ПО учета рабочего времени для организаций, все же сообщила, что стала жертвой возможной кибератаки на LeaseWeb.

Sophos X-Ops сообщает, что злоумышленник, отслеживаемый как STAC4663 и, предположительно, с умеренной уверенностью связанный с хакерской группой FIN8, использует RCE-уязвимость CVE-2023-3519 для компрометации неисправленных систем Citrix NetScaler в ходе атак на уровне домена.

CVE-2023-3519 имеет оценку CVSS: 9,8, затрагивает Citrix NetScaler ADC и NetScaler Gateway, была обнаружена как активно используемая 0-day еще в середине июля 2023 года.

Вендор выпустил обновления безопасности для нее 18 июля. Однако киберпреступники предположительно продавали эксплойт для уязвимости как минимум с 6 июля 2023 года.

2 августа Shadowserver сообщила об обнаружении 640 веб-шеллов на скомпрометированных серверах Citrix, а две недели спустя Fox-IT увеличила это число до 1952.

К середине августа более 31 000 экземпляров Citrix NetScaler оставались уязвимыми для CVE-2023-3519, то есть более чем через месяц после выхода обновления безопасности, что открывает для злоумышленников широкий горизонт возможностей в плане атак.

По мнению исследователей Sophos, новая серия атак на Citrix NetScaler является частью той же кампании, о которой Fox-IT сообщала ранее в этом месяце.

Sophos отслеживает эту кампанию с середины августа и фиксирует, что злоумышленник выполняет инъекции полезной нагрузки, использует BlueVPS, развертывает запутанные сценарии PowerShell и устанавливает веб-шеллы PHP на компьютеры жертв.

Сходство с другой атакой, которую аналитики Sophos наблюдали ранее летом, привело аналитиков к выводу, что эти две волны связаны между собой.

Полезная нагрузка, доставленная в ходе недавних атак и внедренная в wuauclt.exe или wmiprvse.exe, все еще анализируется. Тем не менее, судя по профилю злоумышленника, Sophos считает, что это часть цепочки атак с использованием ransomware BlackCat/ALPHV.

Выводы о связи с предыдущей кампанией злоумышленника основаны на обнаружении доменов, plink, BlueVPS, необычных сценариях PowerShell и безопасном копировании PuTTY.

Наконец, злоумышленники используют IP-адрес C2 (45.66.248[.]189) для размещения вредоносного ПО и второй IP-адрес C2 (85.239.53[.]49), что и в предыдущей кампании.

Sophos опубликовала IoC для этой кампании на GitHub для возможного обнаружения и защиты от угрозы, настоятельно рекомендуя применить обновления на Citrix ADC и Gateway согласно бюллетеню по безопасности поставщика.

ReliaQuest сообщают, что QakBot, SocGholish и Raspberry Robin - это три самых популярных загрузчика вредоносных ПО, на которые приходится до 80% наблюдавшихся инцидентов.

За период с 1 января по 31 июля этого года на QakBot пришлось 30% инцидентов, на SocGholish - 27% из них, а на Raspberry Robin - 23%.

По данным компании, не во всех изучаемых инцидентах фиксировалась компрометация сети, поскольку в ряде случаев загрузчик был обнаружен и нейтрализован до того, как смог вызвать серьезные проблемы.

Активный с 2009 года, QakBot (QBot или Quakbot) изначально представлял собой банковский троян, но позже превратился в загрузчик вредоносного ПО, который мог развертывать дополнительные полезные нагрузки, красть конфиденциальную информацию и обеспечивать горизонтальное перемещение.

QakBot, обычно доставлялся через фишинговые электронные письма и был связан с группой вымогателей BlackBasta, состоящей из бывших членов Conti.

Ресерчеры характеризуют QakBot как развивающуюся, постоянную угрозу, используемую для массированных атак на различные отрасли или регионы.

Его операторы изобретательны и быстро адаптируются к изменяющимся условиям, и, вероятно, продолжать проявлять активность в обозримом будущем.

SocGholish (также известный как FakeUpdates), активный как минимум с 2018 года, развертывается посредством попутных загрузок с использованием широкой сети взломанных веб-сайтов с фейковыми обновлениями.

Загрузчик был связан с Evil Corp, действовавшей как минимум с 2007 года, а также с брокером первичного доступа (IAB), известным как Exotic Lily.

В первой половине 2023 года было замечено, что операторы SocGholish проводили агрессивные атаки на водопои, используя взломанные веб-сайты крупных организаций.

Червь Raspberry Robin для Windows, впервые обнаруженный в сентябре 2021 года, в основном распространяется через съемные устройства, такие как USB-накопители, и был связан с различными злоумышленниками, включая Evil Corp и Silence.

Было замечено, что Raspberry Robin использует широкий спектр семейств ransomware и вредоносных ПО, включая Cl0p, LockBit, TrueBot и другие, в атаках, нацеленных на финучреждения, правительственные организации, а также телекоммуникационные и производственные компании, дислоцированные, преимущественно, в Европе.

По данным ReliaQuest, в дополнение к этим трем загрузчикам в течение первых семи месяцев года высокой активностью также пользовались Gootloader, Chromeloader, Guloader и Ursnif.