🔍 Сиджу, розбираю черговий звіт по атаках — і натрапляю на цікавий апдейт по групі Head Mare. Це проукраїнські хлопці, які зараз дуже прицільно працюють по російських держструктурах і промисловості — і роблять це все дедалі елегантніше.Замість «важких» файлів вони майже повністю переїхали в PowerShell і підхід Living-off-the-Land 🧩 — коли використовується максимум вбудованих засобів Windows. Новий бекдор PhantomHeart через уразливість в TrueConf Server (BDU:2025-10114) або фішинг пролазить у мережу, підіймає SSH-тунель 🛠, збирає технічні дані й ховається в планувальнику задач, маскуючись під оновлення LiteManager.Паралельно працює PhantomProxyLite, який теж на PowerShell, автоматом створює «SSHService»-задачу від SYSTEM і через ssh.exe тримає стабільний зворотний доступ 🧨. Мені здається, тренд очевидний: хто не моніторить PowerShell, планувальник задач і каталоги віддаленого адмін-ПЗ — той просто не бачить пів атаки 🛡️. Як у вас з цим: стоїть EDR/логування, чи все ще «антивірус і на тому дякую»?🔗 Докладніше:https://cybersecurefox.com/uk/powershell-bekdor-phantomheart-head-mare-living-off-the-land#кібервійна_кібербезпека_powershell_lotl_headmare_itsecCyberSecureFox