#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 1, code: 18, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что APT-команда Seqrite Labs обнаружила недавнюю киберкампанию, направленную против правительственных и военных чиновников в Чешской Республике. Кампания включает в себя сложную тактику, хорошо скоординированную экосистему вредоносных программ, использующую командно-управляющую платформу HavocC2, язык программирования на основе Rust и различные вредоносные файлы, такие как документы-приманки и DLL-инъекции. Анализ указывает на возможную причастность к российским угрозам на основе контекстуальной информации и инструментов, использованных в кампании.
-----

APT-команда Seqrite Labs обнаружила недавнюю киберкампанию, направленную против Чешской Республики, в частности, правительственных и военных чиновников. Эта кампания использует сложную тактику и хорошо скоординированную экосистему вредоносных программ. Он запускается с помощью загрузчика и использует командно-управляющую платформу HavocC2, а также язык программирования на основе Rust, который пользуется популярностью у злоумышленников. Кампания была начата 4 августа 2024 года после обнаружения вредоносного ZIP-файла, содержащего поддельные документы с расширениями PDF и LNK.

Вредоносный LNK-файл внутри ZIP-файла запускает пакетный скрипт с именем "AdobeAcrobatReader.bat", который выполняет несколько действий, включая переименование файлов и подготовку к внедрению вредоносной библиотеки DLL. Первый документ-приманка, "Postup_zmeny_hesla_z_IMO.pdf", по-видимому, связан со сменой паролей в сети Министерства обороны, что потенциально может ввести в заблуждение цели и побудить их к немедленным действиям. Во втором документе-приманке "Важность и перспективы Чешской Республики в НАТО" обсуждается геополитическое значение отношений Чехии и НАТО, что соответствует теме кампании.

Кампания проходит несколько этапов. На первом этапе используются вредоносный пакет и скрипты LNK, которые подготавливают почву для внедрения полезной нагрузки. На втором этапе используется загрузчик на основе Rust, который называется "Freeze" и предназначен для обхода таких мер безопасности, как EDRs. Загрузчик содержит зашифрованный шелл-код, который расшифровывается с помощью криптоалгоритмов перед записью в память. Этот расшифрованный шелл-код обнаруживает вредоносную библиотеку DLL Havoc.

На третьем этапе анализ фокусируется на вредоносной DLL-библиотеке Havoc, известной как Demon, которая является частью платформы Havoc post-exploitation framework. Извлеченный из загрузчиков шелл-код указывает на наличие Demon.x64.dll и URL-адреса, связанного с пользовательским этапом Sliver. Идентифицирован сервер управления, используемый злоумышленником, а также связанная с ним информация об агенте пользователя. В частности, полученные данные указывают на возможную принадлежность к российским злоумышленникам, учитывая контекстную информацию и инструменты, использованные в кампании.

#ParsedReport #CompletenessLow
30-08-2024

Attack tool update impairs Windows computers

https://news.sophos.com/en-us/2024/08/27/burnt-cigar-2

Report completeness: Low

Actors/Campaigns:
Ransomhub

Threats:
Blackcat
Burntcigar_tool
Lockbit
Poortry
Stonestop
Vmprotect_tool
Themida_tool
Asmguard_tool
Cuba_ransomware
Splashtop_tool
Blackbyte

ChatGPT TTPs:
do not use without manual check
T1562.001, T1562.001, T1553.002, T1547.006, T1003

IOCs:
File: 5

Soft:
Windows kernel

Win API:
GetLocalTime, DeviceIoControl, PsSetCreateProcessNotifyRoutine, ExDesktopObj, IoDetachDevice, PsSetLoadImageNotifyRoutine, PsSetCreateThreadNotifyRoutine, ExDesktopObject, CmRegisterCallback, CmUnregisterCallback, have more...

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 2, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что вредоносный драйвер ядра Poortry и связанный с ним загрузчик Stonestop превратились в сложные инструменты, которые представляют значительную угрозу для организаций, ставших мишенями банд программ-вымогателей. Эти инструменты постоянно совершенствуются, чтобы избежать обнаружения, отключить EDR и программное обеспечение для защиты конечных точек, а также облегчить различные вредоносные действия, одновременно адаптируясь к таким мерам безопасности, как принудительное использование подписи кода.
-----

В тексте обсуждается программа-убийца EDR (Endpoint Detection and Response), известная как Poortry, которая отслеживалась Sophos X-Ops в течение трех лет и продолжает представлять серьезную угрозу для организаций, ставших мишенями банд программ-вымогателей. Poortry - это вредоносный драйвер ядра, который используется в сочетании с загрузчиком Stonestop, который обычно ассоциируется с крупными бандами программ-вымогателей. Впервые этот инструмент был назван Poortry компанией Mandiant и использует различные методы для обхода принудительного применения подписи драйвера. Создатели Poortry постоянно совершенствовали инструмент, позволяющий избежать обнаружения и отключить EDR и программное обеспечение для защиты конечных точек.

Изначально драйвер Poortry был подписан с помощью сертификационного процесса Microsoft, но после того, как лазейка была закрыта, разработчики адаптировались, добавив новые функции и получив подписи с помощью поддельных временных меток или утечек сертификатов. Этот инструмент был связан с атаками, в которых участвовали пять основных семейств программ-вымогателей, и его создатели часто модифицируют упаковщики, чтобы избежать обнаружения. Важно отметить, что Poortry теперь может полностью удалять критически важные компоненты EDR, а не просто прекращать их работу, демонстрируя свою эволюцию в более сложную и опасную киберугрозу.

Специалисты Sophos X-Ops наблюдали, как злоумышленники внедряют варианты Poortry наряду с Stonestop, при этом злоумышленники быстро меняют сигнатуры при обнаружении. Этот инструмент использовался в различных атаках для отключения обратных вызовов ядра, изменения важных структур данных и управления низкоуровневыми функциями операционной системы. Poortry стал более универсальным и разрушительным, напоминая руткит, способный удалять программное обеспечение безопасности из системы для облегчения развертывания программ-вымогателей.

Более того, эволюция Poortry свидетельствует о переходе к использованию украденных или неправильно используемых сертификатов подписи кода для обхода механизмов безопасности. Исследователи подозревают, что функции инструмента адаптированы в зависимости от целевой среды, что демонстрирует высокий уровень адаптивности. В целом, Poortry и Stonestop превратились в сложные и многогранные инструменты, которые представляют серьезную угрозу для организаций, позволяя осуществлять различные вредоносные действия и одновременно пытаясь избежать обнаружения с помощью мер безопасности.

#ParsedReport #CompletenessLow
30-08-2024

AutoIT Bot Targets Gmail Accounts First

https://blog.sonicwall.com/en-us/2024/08/autoit-bot-targets-gmail-accounts-first

Report completeness: Low

ChatGPT TTPs:
do not use without manual check
T1172, T1056.001, T1078, T1562.001, T1036.005

IOCs:
File: 2
Hash: 1

Soft:
Gmail, Google Chrome, Mozilla Firefox, Firefox

Win API:
WSAGetLastError

Languages:
autoit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что команда исследователей угроз SonicWall Capture Labs обнаружила опасный автоматически скомпилированный исполняемый файл. Эта вредоносная программа нацелена на страницы входа в Gmail через популярные браузеры, обладает различными вредоносными возможностями, такими как ведение кейлогга и контроль системы, и имеет специфическое поведение, связанное с манипуляциями с браузером и сетью. SonicWall выпустила новые сигнатуры для защиты клиентов от этой угрозы.
-----

Команда исследователей угроз SonicWall Capture Labs недавно обнаружила опасный автоматически скомпилированный исполняемый файл, демонстрирующий вредоносное поведение. Этот исполняемый файл предназначен для доступа к страницам входа в Gmail через популярные браузеры, такие как Microsoft Edge, Google Chrome и Mozilla Firefox. Вредоносная программа обладает рядом возможностей, включая чтение данных из буфера обмена, перехват нажатий клавиш, запуск от имени разных пользователей и выполнение таких действий, как перезагрузка или завершение работы системы.

Кроме того, образец может обнаруживать отладчики, блокировать ввод данных пользователем при обнаружении и управлять событиями с клавиатуры и мыши. Пользователям рекомендуется соблюдать осторожность при работе с файлами из неизвестных источников или с такими неописуемыми именами, как "File.exe". Клиенты SonicWall защищены с помощью функции "MalAgent".В их ежедневную ленту обновлений встроена подпись AutoITBot.

После анализа образца с помощью инструмента Detect-It-Easy (DIE) он отображается в виде исполняемого файла AutoIt с начальным именем "File.exe". Дальнейший статический анализ с помощью дизассемблеров не выявил каких-либо жестко закодированных вредоносных адресов. Хотя вредоносная программа инструктирует каждый браузер для доступа к аккаунтам Google, она также содержит общие ссылки для входа в различные социальные сети, такие как Facebook и Reddit.

Во время выполнения браузеры запускаются должным образом, при этом отдельная функция запускает прослушивающий сокет при условии соблюдения необходимых условий среды и подключения. В случае сбоев в настройке сокета вредоносная программа использует стандартный Windows API WSAGetLastError, как было обнаружено в ходе динамического анализа. Как только соединение установлено, вредоносная программа запускает кейлоггинг, захват экрана и дополнительные функции перечисления файлов. Однако во время тестирования такое поведение не привело к подключению к серверу управления (C2).

В качестве превентивной меры клиентам SonicWall была выдана новая подпись, чтобы защитить их от этой мощной угрозы.

#ParsedReport #CompletenessLow
30-08-2024

Iranian hackers tickle U.S. and UAE with new backdoor malware

https://fieldeffect.com/blog/iranian-hackers-tickle-u.s.-and-uae-with-new-backdoor-malware

Report completeness: Low

Actors/Campaigns:
Apt33

Threats:
Tickler
Password_spray_technique

Industry:
Petroleum, Critical_infrastructure, Government

Geo:
Arab emirates, United arab emirates, Iranian, Iran

ChatGPT TTPs:
do not use without manual check
T1071.001, T1219, T1190

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Иранская государственная кибератака APT33 использовала новую вредоносную программу под названием Tickler для атаки на сети критической инфраструктуры в США и ОАЭ, сосредоточив внимание на таких секторах, как правительство, оборона, спутниковая/космическая и нефтегазовая промышленность. Корпорация Microsoft вмешалась, чтобы пресечь атаку, подчеркнув необходимость принятия усиленных мер кибербезопасности, таких как многофакторная аутентификация, для защиты от подобных угроз со стороны кибератакующих государств. Агентство CISA США выпустило предупреждения о планах Ирана подорвать демократические институты США и собрать разведданные, связанные с федеральными выборами, с помощью киберопераций.
-----

Краткое содержание:.

Киберпреступник APT33, спонсируемый иранским государством, недавно использовал новую вредоносную программу под названием Tickler для проникновения в сети критически важной инфраструктуры в США и ОАЭ с апреля по июль 2024 года. Они использовали поддельные подписки Azure для управления функциями, полученные с помощью атак с использованием паролей и скомпрометированных учетных данных. Microsoft вмешалась, чтобы нарушить работу этой инфраструктуры, что сделало Tickler неэффективным. Целевыми секторами были правительственная, оборонная, спутниковая/космическая, а также нефтегазовая промышленность. В то же время иранские киберпреступники активно выполняют свои разведывательные задачи и оказывают влияние. CISA США предупредило о планах Ирана подорвать демократические институты США и собирать разведывательные данные, связанные с предстоящими федеральными выборами, с помощью киберопераций. Внимание Ирана к сетям в США и ОАЭ соответствует приоритетам разведки в жизненно важных секторах. Компаниям, работающим в этих областях, необходимо повысить свою кибербезопасность, внедряя такие меры, как многофакторная аутентификация, для предотвращения атак, подобных Tickler's. Укрепление защиты имеет решающее значение для предотвращения успешного проведения кампаний национальными кибератаками, такими как APT33.

#ParsedReport #CompletenessLow
30-08-2024

Fake Canva home page leads to browser lock

https://www.malwarebytes.com/blog/scams/2024/08/fake-canva-home-page-leads-to-browser-lock

Report completeness: Low

Victims:
Microsoft, Canva

ChatGPT TTPs:
do not use without manual check
T1204, T1078

IOCs:
Domain: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В сообщении в блоге рассматривается киберугроза, когда мошенники используют Canva для создания обманчивых дизайнов, напоминающих легальные веб-сайты, такие как Microsoft, что приводит пользователей на вредоносные страницы. Malwarebytes активно борется с этими угрозами, отслеживая такие действия и сообщая о них для защиты интернет-пользователей, а также рекомендуя расширение для своего браузера Guard для повышения безопасности.
-----

В сообщении в блоге обсуждается недавний инцидент, когда мошенники использовали Canva, популярный онлайн-инструмент графического дизайна, для осуществления хитроумного трюка в своей вредоносной кампании. Мошенники создали на Canva дизайн, который очень напоминает домашнюю страницу Canva, чтобы обмануть жертв, которые нажимают на вредоносную рекламу. Когда пользователи переходят на поддельную домашнюю страницу Canva, они перенаправляются на поддельное предупреждение Microsoft, которое блокирует их браузеры. Эта мошенническая деятельность не только ставит под угрозу работу пользователей в Интернете, но и представляет серьезную угрозу кибербезопасности.

Злоумышленники, стоящие за этой кампанией, используют сочетание фирменной рекламы Google и страниц-приманок, чтобы привлечь большое количество потенциальных жертв к своим мошенническим или вредоносным программам непосредственно из поисковых систем. Эта стратегия позволяет им охватить более широкую аудиторию и повысить вероятность успешных атак. Компания Malwarebytes, занимающаяся кибербезопасностью, активно отслеживает и расследует подобные схемы вредоносной рекламы и оперативно информирует пострадавшие платформы, такие как Google и Canva, об этих мошеннических действиях.

Постоянные усилия Malwarebytes по выявлению таких киберугроз и сообщению о них играют решающую роль в защите пользователей Интернета от онлайн-мошенничества и вредоносных программ. Кроме того, компания рекомендует использовать бесплатное расширение Browser Guard для повышения защиты от потенциальных угроз при работе в Интернете. Повышая осведомленность об этих сложных киберугрозах и сотрудничая с поставщиками платформ для снижения рисков, Malwarebytes стремится обеспечить онлайн-безопасность пользователей и сохранить целостность онлайн-сервисов.

#ParsedReport #CompletenessMedium
30-08-2024

Analysis of two arbitrary code execution vulnerabilities affecting WPS Office

https://www.welivesecurity.com/en/eset-research/analysis-of-two-arbitrary-code-execution-vulnerabilities-affecting-wps-office

Report completeness: Medium

Actors/Campaigns:
Camouflaged_hunter (motivation: cyber_espionage)

Threats:
Spyglace
Procmon_tool

Geo:
Asia, China, Korea, Ukraine, Asian

CVEs:
CVE-2022-24934 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- wps wps office (le11.2.0.10382)

CVE-2024-7262 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- kingsoft wps office (le12.2.0.13489)

CVE-2924-7263 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-7672 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-7263 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- kingsoft wps office (<12.2.0.17153)


TTPs:
Tactics: 2
Technics: 6

IOCs:
File: 11
Hash: 3
Path: 6
Registry: 1
Domain: 1
IP: 2

Soft:
Windows Explorer

Algorithms:
sha1, base64, md5

Win API:
LoadLibraryExW, LoadLibraryW

Links:
https://github.com/eset/malware-ioc/tree/master/apt\_c\_60

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 7, dump: 3, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи ESET обнаружили две уязвимости для выполнения кода в WPS Office для Windows, которые были использованы группой кибершпионажа APT-C-60, связанной с Южной Кореей. Эти уязвимости позволяли злоумышленникам запускать вредоносный код, обманом заставляя пользователей нажимать на документы, которые казались законными. Несмотря на первоначальные усилия по исправлению, логическая ошибка привела к дальнейшему использованию, что подчеркивает важность всесторонней проверки исправлений. Скоординированный процесс раскрытия информации и последующее исправление подчеркнули необходимость принятия надежных мер кибербезопасности для защиты от сложных угроз, подобных тем, которые исходят от APT-C-60.
-----

Исследователи ESET обнаружили две уязвимости при выполнении кода в WPS Office для Windows, CVE-2024-7262 и CVE-2024-7263, которые использовались группой кибершпионажа APT-C-60, связанной с Южной Кореей. Первоначальная уязвимость, CVE-2024-7262, была использована APT-C-60 для атаки на страны Восточной Азии с использованием специального бэкдора под названием SpyGlace. Эта уязвимость нулевого дня позволила злоумышленнику перехватить поток управления компонентом подключаемого модуля WPS Office promecefpluginhost.exe . Эксплойт заключался в запуске приложения с использованием вредоносной ссылки в электронной таблице, которая выглядела как законная, и при нажатии на нее запускался компонент загрузки троянской программы.

Несмотря на то, что Kingsoft выпустила исправление для CVE-2024-7262, логическая ошибка позволила оставшемуся дефектному коду оставаться доступным для использования, что привело к обнаружению CVE-2024-7263. Злоумышленники манипулировали протоколом ksoqing scheme, чтобы создать гиперссылку, которая загружала библиотеку с удаленного пути к файлу, что позволяло выполнять вредоносный код. Для эксплойта требовалось, чтобы пользователи нажимали на электронную таблицу, которая казалась подлинной, но содержала скрытую вредоносную гиперссылку во встроенном изображении.

До выхода исправления в марте 2024 года уязвимые версии WPS Office варьировались от 12.2.0.13110 до 12.1.0.16412. Патч ввел дополнительные проверки для проверки контролируемой злоумышленником переменной JSCefServicePath, но не охватывал CefPluginPathU8, оставляя пробел для использования. Использование APT-C-60 этих уязвимостей продемонстрировало их решимость скомпрометировать цели в Восточной Азии, что потребовало глубокого понимания внутреннего устройства приложения и процесса загрузки Windows. Выбор формата файла MHTML позволил злоумышленникам использовать уязвимости удаленно.

Скоординированный процесс раскрытия информации привел к устранению обеих уязвимостей, что подчеркивает важность тщательной проверки исправлений и полного устранения основных проблем. В сообщении в блоге ESET, направленном на предупреждение пользователей о необходимости обновления WPS Office для предотвращения дальнейшего использования. В целом, обнаружение и анализ этих уязвимостей пролили свет на изощренную тактику, используемую группами кибершпионажа, такими как APT-C-60, и подчеркнули необходимость принятия надежных мер кибербезопасности для защиты от подобных угроз.

#ParsedReport #CompletenessMedium
01-09-2024

Volt Typhoon vs. Flax Typhoon

https://eurepoc.eu/wp-content/uploads/2024/08/Advanced-Persistent-Threat-Profile-VoltFlax-Typhoon.pdf

Report completeness: Medium

Actors/Campaigns:
Volt_typhoon (motivation: information_theft, sabotage, cyber_espionage, disinformation)
Flax_typhoon (motivation: information_theft, sabotage, cyber_espionage)

Threats:
Lolbin_technique
Chinachopper
Mimikatz_tool
Ntdsutil_tool
Portproxy_tool
Impacket_tool
Metasploit_tool
Juicypotato_tool
Potato_tool
Kv-botnet
Devilzshell
Antsword
Acunetix_tool

Victims:
Taiwan, Usa, Guam, Southeast asia, North america, Africa, Laos, Kenya, Rwanda

Industry:
Education, Financial, Military, Government, Aerospace, Transport, Maritime, Critical_infrastructure

Geo:
United kingdom, Usa, Korea, Hong kong, Malaysia, Taiwanese, America, North korea, Djibouti, China, Laos, Chinese, Australian, Kenya, Taiwan, Guam, Rwanda, Asia, The us, Pacific, Canadian, Africa, New zealand

CVEs:
CVE-2024-22024 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: False
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.1, 22.4, 22.5)

CVE-2023-27997 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (le1.1.6, le1.2.13, le2.0.12, le7.0.9, le7.2.3)
- fortinet fortios (le6.0.16, le6.2.13, le6.4.12, le7.0.11, le7.2.4)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2016-5195 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- canonical ubuntu linux (12.04, 14.04, 16.04, 16.10)

CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21762 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (<2.0.14, <7.0.15, <7.2.9, <7.4.3)
- fortinet fortios (<6.2.16, <6.4.15, <7.0.14, <7.2.7, <7.4.3)

CVE-2024-23113 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (le7.0.14, le7.2.8, le7.4.2)
- fortinet fortiswitchmanager (le7.0.3, le7.2.3)
- fortinet fortios (le7.0.13, le7.2.6, le7.4.2)
- fortinet fortipam (le1.0.3, le1.1.2, 1.2.0)

CVE-2021-40539 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- zohocorp manageengine adselfservice plus (4.5, 5.0, 5.0.6, 5.1, 5.2)


TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 2

Soft:
Fortinet FortiOS, Ivanti, Local Security Authority, SoftEther

Languages:
powershell, python