#ParsedReport #CompletenessMedium
08-09-2024

Konni Threat Worldview Expansion Analysis Report

https://www.genians.co.kr/blog/threat_intelligence/konni_universe

Report completeness: Medium

Actors/Campaigns:
Scarcruft
Kimsuky

Threats:
Spear-phishing_technique
Agent_tesla
Cloud_reverser
Asyncrat

Victims:
Korean government agencies, Russian government agencies, Individuals in north korea, Experts in north korean affairs, Individuals involved in virtual asset transactions

Industry:
Government, Financial

Geo:
Dprk, Gyeonggi-do, Korea, North korean, Russian, Usa, Korean, Russia, North korea, Chinese, Germany, Moscow, The us, German

ChatGPT TTPs:
do not use without manual check
T1566.001, T1202, T1059.001, T1059.005, T1071.002, T1070.004, T1059.003, T1140

IOCs:
Domain: 34
File: 19
IP: 8
Hash: 37
Path: 2
Command: 1

Soft:
Slack, Instagram, task scheduler, Microsoft Excel

Crypto:
bitcoin

Algorithms:
zip, aes-256-ctr, base64, sha256, xor, md5, aes

Functions:
CreateObject, GetFolder, ReadLine, GetSpecialFolder

Win API:
CopyFile

Languages:
python, powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 7, schema: 3, code: 2, dump: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что кампания Konni threat campaign и связанная с ней группа Kimsuky проводят кибератаки на правительственные учреждения в Корее и России. В рамках кампании используются различные методы, такие как скрытый фишинг, облачные сервисы и FTP-сервисы, а также распространение вредоносных программ для проникновения в системы, уклонения от обнаружения антивирусом и сохранения устойчивости. Злоумышленники постоянно адаптируют свою тактику, чтобы избежать обнаружения, подчеркивая важность упреждающего мониторинга и анализа угроз для повышения уровня кибербезопасности.
-----

Кампания Konni threat, которая, как полагают, связана с группой Kimsuky, расширяет свою деятельность, в частности, за счет использования облачных сервисов и FTP-сервисов в рамках поэтапной цепочки заражения. Кампания была нацелена на правительственные учреждения в Корее и России, и было замечено, что для проведения атак использовались зарубежные веб-хостинговые и доменные сервисы. Центр безопасности Genians (GSC) определил тактику, методы и процедуры Konni group (TTP), включая меры по предотвращению обнаружения антивирусом на начальном этапе проникновения.

В августе 2022 года произошел примечательный инцидент, связанный с фишинговой атакой с использованием документа-приманки под названием "Пхеньян ведет переговоры с Москвой о доступе к Донбассу" и вредоносного файла с расширением ppam. Последующие атаки, совершенные в ноябре 2023 года и феврале 2024 года, выдавали себя за полицейских следователей и налоговую юридическую фирму, соответственно, используя фишинг для распространения вредоносных файлов. Целью этих атак были эксперты по делам Северной Кореи, политике и операциям с виртуальными активами. Вредоносные программы, участвовавшие в этих атаках, были в основном представлены в форматах исполняемых файлов, причем некоторые из них использовали расширение ppam.

Группа Cony threat, являющаяся частью кампании Konni, использует фишинг-атаки, нацеленные на отдельных лиц в Северной Корее, финансы и виртуальные активы. В своих атаках они используют различные темы, например, выдают себя за Национальную налоговую службу или предлагают стипендии северокорейским перебежчикам. Вредоносные файлы, связанные с Cony, подключаются к серверу управления (C2) в Германии, используя различные варианты вредоносного ПО AsyncRAT. Злоумышленники постоянно адаптируют свою тактику, чтобы избежать обнаружения, что требует активного мониторинга и анализа угроз.

Кампания также включает распространение вредоносных файлов, при этом особое внимание уделяется тем, которые были собраны в период с мая по июль 2024 года. Эти файлы содержат запутанные скрипты и используют различные расширения файлов для проведения атак. Тактика включает в себя использование скриптов VBS, команд PowerShell для обмена данными и потенциальную установку троянских программ удаленного доступа (RAT) по каналам FTP. Злоумышленники демонстрируют высокий уровень технического мастерства в использовании алгоритмов шифрования и методов написания сценариев для проникновения в системы и поддержания их работоспособности.

Более того, вредоносные действия, связанные с группой Cony threat group, демонстрируют опыт обхода антивирусного обнаружения с помощью атак без использования файлов, обфускации и шифрования. Центр безопасности Genians использовал свои возможности обнаружения конечных точек и реагирования на них (EDR) для отслеживания угроз Cony и реагирования на них, подчеркивая важность раннего обнаружения и активных стратегий смягчения последствий. Коммуникации и схемы атак C2 в рамках кампании указывают на скоординированные усилия, направленные на широкий круг жертв, что требует постоянного мониторинга и интеграции информации об угрозах для повышения уровня кибербезопасности.

#ParsedReport #CompletenessHigh
08-09-2024

APT \| Patchwork. APT \| Analysis of recent attack activities of Patchwork organization

https://www.ctfiot.com/204087.html

Report completeness: High

Actors/Campaigns:
Dropping_elephant (motivation: information_theft)

Threats:
Spear-phishing_technique
Remcos_rat
Badnews_rat
Quasar_rat
Asyncrat
Northstar_tool

Victims:
Military, Diplomatic, Educational, Scientific research institutions

Industry:
Military

Geo:
Bangladesh, Pakistan, China

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566.002, T1204.002, T1105, T1059.001, T1071.001, T1055.004, T1555.001

IOCs:
Domain: 5
Url: 4
File: 3
Hash: 7
IP: 4

Soft:
WeChat

Algorithms:
aes-256-cbc, aes-128-cbc, md5, base64

Languages:
powershell, golang, rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
The Patchwork organization - это группа злоумышленников, известная своей атакой на военные, дипломатические, образовательные и научно-исследовательские учреждения в таких странах, как Китай, Пакистан и Бангладеш, с помощью фишинговых кампаний с использованием вредоносных вложений, замаскированных под PDF-файлы, в первую очередь LNK-файлов. Они используют различные средства атаки, используют тактику, методы и процедуры (TTP), связанные с вводящими в заблуждение фишинговыми электронными письмами, и предпринимают действия, направленные на получение глубокого контроля над своими объектами с целью кражи критически важных данных. Использование ими различных троянских программ с дистанционным управлением и методов уклонения от атак подчеркивает необходимость принятия надежных мер кибербезопасности для эффективного противодействия их атакам.
-----

Организация Patchwork, известная с 2009 года и публично раскрытая в 2015 году, занимается кражей данных военных, дипломатических, образовательных и научно-исследовательских учреждений в таких странах, как Китай, Пакистан и Бангладеш.

В основном они используют фишинговые кампании с использованием вредоносных LNK-файлов, замаскированных под PDF-файлы, для запуска скриптовых команд для загрузки дополнительной полезной информации с удаленных серверов управления.

Patchwork использует различные инструменты атаки, такие как BADNEWS, QuasarRat, AsyncRat, Remcos RAT и NorthStarC2, а TTP включают использование вводящих в заблуждение строк темы в фишинговых письмах для распространения вредоносных файлов LNK.

Недавние действия показывают, что "Пэчворк" загружает несколько троянских программ с удаленным управлением, чтобы получить полный контроль над целями, используя такие методы, как загрузка памяти, выполнение зашифрованного шеллкода и захват локальных библиотек DLL, чтобы избежать обнаружения и украсть важные данные.

Специальные инструменты и методы, такие как троянец BADNEWS, внедряющий шеллкод в процессы, и троянец Quasar, расшифровывающий шеллкод в кодировке base64, демонстрируют их сложные методы.

Группа использует инструменты для кражи ключей браузера и троянские программы удаленного управления, такие как Protego client, для поддержания соединений с внешними серверами C2 для скрытных операций и утечки конфиденциальной информации.

Передовые кампании The Patchwork group по борьбе с атаками подчеркивают необходимость принятия надежных мер кибербезопасности для эффективного обнаружения и устранения этих целенаправленных угроз организациям в чувствительных секторах.

#ParsedReport #CompletenessLow
08-09-2024

New Harry Potter-named malware strikes, revealing global espionage campaign

https://www.proofpoint.com/us/newsroom/news/new-harry-potter-named-malware-strikes-revealing-global-espionage-campaign

Report completeness: Low

Threats:
Voldemort

Victims:
Individuals

Industry:
E-commerce, Government, Financial

Geo:
Italy, France, India, Germany, Japan

ChatGPT TTPs:
do not use without manual check
T1071.001, T1105, T1059.006, T1566.001, T1566.003, T1036.005

Soft:
Instagram

Algorithms:
des, zip

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении нового вида вредоносного ПО под названием "Voldemort", которое нацелено на отдельных лиц, выдавая себя за государственные налоговые органы и осуществляя шпионаж с целью кражи личных данных и паролей. Вредоносная программа использует Google Sheets для скрытной работы, и организациям рекомендуется совершенствовать протоколы кибербезопасности для защиты от таких киберугроз.
-----

В тексте описывается новый вид вредоносного ПО под названием "Voldemort", который был обнаружен исследователями в области безопасности и подозревается в шпионаже. Хакеры, стоящие за Voldemort, заражают устройства, выдавая себя за государственные учреждения, в частности налоговые службы, такие как IRS, для сбора личных данных, паролей и другой конфиденциальной информации. Как только вредоносная программа оказывается на компьютере, она может загрузить дополнительное вредоносное программное обеспечение и загрузить данные на сервер хакера, используя при этом Google Sheets, чтобы избежать обнаружения и сохранить украденные данные.

Кибератака начинается с адресных электронных писем, которые, как представляется, поступают от государственных налоговых органов различных стран, включая США, Великобританию, Францию, Германию, Италию, Индию и Японию. Эти электронные письма настраиваются в соответствии со страной проживания цели на основе общедоступной информации, что иногда приводит к путанице из-за общих имен или ссылок на определенные страны в открытых источниках. Хакеры также используют адреса электронной почты, имитирующие адреса государственных учреждений, чтобы придать сообщению видимость законности.

Жертвам предлагается переходить по ссылкам в этих поддельных электронных письмах, которые ведут на целевые страницы со скрытыми вредоносными скриптами. При открытии файла вредоносная программа активируется, собирает системную информацию и профилирует цель, при этом отображается как поддельный PDF-файл, чтобы скрыть свою активность. После заражения вредоносная программа использует Google Sheets в качестве командного центра, получая инструкции и сохраняя украденные данные в определенных ячейках, используя API Google для передачи данных незамеченными.

Кроме того, организациям настоятельно рекомендуется совершенствовать протоколы кибербезопасности и внедрять меры по защите отдельных лиц от атак вредоносных программ, учитывая растущую сложность и масштабы киберугроз. В заключение читателям предлагается поделиться своими соображениями о дополнительных мерах защиты, связавшись с нами по адресу Cyberguy.com.

#ParsedReport #CompletenessHigh
08-09-2024

Threat Actors Exploit GeoServer Vulnerability CVE-2024-36401

https://www.fortinet.com/blog/threat-research/threat-actors-exploit-geoserver-vulnerability-cve-2024-36401

Report completeness: High

Actors/Campaigns:
Winnti
Cutting_kitten
Fox_kitten
Volt_typhoon

Threats:
Goreverse
Sidewalk
Mirai
Condi
Coinminer
Upx_tool
Tcpflood_technique
Udpflood_technique
Xmrig_miner

Victims:
It service providers, Technology companies, Government entities, Telecommunications companies

Industry:
Telco, Government

Geo:
Asia, India, America, Indonesian, Belgium, Thailand, Chinese, Brazil

CVEs:
CVE-2017-17215 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- huawei hg532 firmware (-)

CVE-2024-36401 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- geoserver (<2.23.6, <2.24.4, <2.25.2)
- geotools (<29.6, <30.4, <31.2)


ChatGPT TTPs:
do not use without manual check
T1210, T1071.001, T1498, T1059.004, T1203, T1071.002, T1057, T1570, T1566.003, T1036.005, have more...

IOCs:
Url: 32
IP: 9
Domain: 7
File: 4
Coin: 2
Hash: 55

Soft:
Aegis, crontab

Algorithms:
chacha20, xor, base64, md5

Languages:
java

Platforms:
m68k, mips, arm, mpsl, x86

Links:
https://github.com/geoserver/geoserver/security/advisories/GHSA-6jj6-gm7p-fcvv
https://github.com/fatedier/frp
https://github.com/geoserver/geoserver

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте обсуждается недавняя уязвимость высокой степени серьезности (CVE-2024-36401), обнаруженная в GeoServer, программном сервере с открытым исходным кодом, используемом для обмена геопространственными данными, что приводит к удаленному выполнению кода. Уязвимость активно используется различными участниками угроз, включая APT41, для таких вредоносных действий, как распространение вредоносных программ, атаки ботнетов, создание бэкдоров и криптоджекинг. Исследователи в области безопасности выявили конкретные вредоносные инструменты, бэкдоры, прокси-серверы и майнеры монет, использовавшиеся в этих атаках, причем некоторые из них указывают на китайскую принадлежность. Кроме того, злоумышленники используют такие тактические приемы, как команды в кодировке base64 и вводящие в заблуждение загрузки с веб-сайтов, чтобы внедрять вредоносное ПО и поддерживать операции незаконного майнинга на скомпрометированных системах.
-----

GeoServer, программный сервер с открытым исходным кодом, написанный на Java, используется для обмена и редактирования геопространственных данных и является эталонной реализацией стандартов OGC WFS и WCS. Недавно на GeoServer была обнаружена уязвимость CVE-2024-36401 с высоким показателем CVSS - 9,8. Эта уязвимость делает возможным удаленное выполнение кода пользователями, не прошедшими проверку подлинности, путем определенных манипуляций с вводимыми данными при установке GeoServer по умолчанию из-за небезопасной оценки имен свойств в виде выражений XPath.

Разработчики проекта устранили эту уязвимость в версиях 2.23.6, 2.24.4 и 2.25.2. После обнаружения CISA добавила этот недостаток в свой каталог KEV, сигнализируя об активной эксплуатации. FortiGuard Labs быстро добавила IP-сигнатуру, наблюдая за многочисленными кампаниями, направленными на выявление уязвимости для распространения вредоносного ПО. Примечательно, что семейства ботнетов и группы майнеров быстро начали атаки. Одной из особо выделенных вредоносных программ является "GOREVERSE", обратный прокси-сервер, используемый для незаконного доступа к системе.

Было обнаружено, что злоумышленники, связанные с APT41, пытались использовать эту уязвимость для различных целей по всему миру, включая поставщиков ИТ-услуг в Индии, технологические фирмы США, государственные учреждения в Бельгии и телекоммуникационные компании в Таиланде и Бразилии. Кроме того, в ходе этих атак была обнаружена сложная вредоносная программа-бэкдор для Linux под названием "SideWalk", часто используемая APT41. Это вредоносное ПО разработано для архитектур ARM, MIPS и X86, при этом связь устанавливается через сервер C2 с использованием алгоритма шифрования ChaCha20.

Исследователи ИТ-безопасности выявили различные вредоносные инструменты, такие как "Linux2.4" и "taskhost.exe", которые действуют как ботнеты и агенты черного хода, а также прокси-сервер GOREVERSE. Эти инструменты обладают возможностями DDoS-атак и бэкдоров, устанавливая соединения с удаленными серверами для вредоносных операций.

Также были обнаружены атаки Coin miner с использованием скриптов, собирающих информацию о хостинге и нацеленных на сервисы облачной платформы, причем конкретные случаи указывали на китайскую принадлежность на основе комментариев к скрипту. Было обнаружено, что различные майнеры монет, такие как "sshd", "linuxsys" и "h4", занимались криптоджекингом. Майнеры монет использовали такие инструменты, как XMRig, и устанавливали URL-адреса пулов для извлечения криптовалюты из зараженных систем.

Дополнительная тактика включала команды в кодировке base64 для загрузки вредоносных скриптов, таких как "linux.sh " или "cron.sh " с обманчивых веб-сайтов, имитирующих законные платформы. Эти скрипты были разработаны для развертывания майнеров монет и создания постоянных процессов в скомпрометированных системах для продолжения незаконной деятельности по добыче полезных ископаемых.

#ParsedReport #CompletenessMedium
08-09-2024

Everything is a ghost: new mailings of cyber spies PhantomCore to Russian companies using PhantomCore.KscDL_trim

https://habr.com/ru/companies/f_a_c_c_t/articles/841348

Report completeness: Medium

Actors/Campaigns:
Phantomcore (motivation: cyber_espionage)

Threats:
Phantomcore
Phantomrat
Upx_tool

Victims:
Russian it company, Company organizing business trips, Design bureau, Manufacturer of wireless communication systems and high-tech equipment

Industry:
Energy

Geo:
Russian

CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<6.23)


ChatGPT TTPs:
do not use without manual check
T1071.001, T1566.001, T1105, T1203, T1106

IOCs:
File: 9
IP: 2
Hash: 9
Url: 6

Algorithms:
sha256, md5, sha1

Functions:
runRequester

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: специалисты F.A.C.C.T. обнаружили кампании по электронной почте, проводимые группой кибершпионажа PhantomCore, нацеленные на различные организации в России, в основном на промышленные компании, использующие вредоносные вложения, замаскированные под важные документы, для использования известной уязвимости (CVE-2023-38831) для выполнения полезной нагрузки и командно-контрольных действий посредством вариант загрузчика на C++ с именем PhantomCore.KscDL_trim.
-----

F.A.C.C.T. обнаружила несколько рассылок по электронной почте от PhantomCore group, нацеленных на различные организации, включая российскую IT-компанию, организацию деловых поездок, конструкторское бюро и производителя систем беспроводной связи.

В рассылке по электронной почте содержалось вредоносное вложение, замаскированное под форму договора поставки, в котором использовалась обычная тактика злоумышленников.

PhantomCore воспользовался известной уязвимостью CVE-2023-38831, чтобы запустить свой вредоносный код, используя вариант PhantomCore с именем PhantomCore.KscDL_trim.

PhantomCore.KscDL_trim общался по протоколу HTTP и демонстрировал такие возможности, как загрузка и запуск файлов с сервера C2 и выполнение команд в командном интерпретаторе Windows.

Конкретные команды вредоносной программы включали профилирование жертв, манипулирование файлами и выполнение команд в скомпрометированной системе.

#ParsedReport #CompletenessHigh
08-09-2024

APT Lazarus: Eager Crypto Beavers, Video calls and Games

https://www.group-ib.com/blog/apt-lazarus-python-scripts

Report completeness: High

Actors/Campaigns:
Lazarus (motivation: financially_motivated)
Contagious_interview
Dalbit

Threats:
Civetq
Beavertail
Invisibleferret
Anydesk_tool
Talisman
Casper

Victims:
Developers, Job-seekers, Blockchain professionals

Industry:
Entertainment, Financial

TTPs:
Tactics: 10
Technics: 22

IOCs:
File: 7
Hash: 50
Url: 8
Domain: 5
Coin: 12
Path: 1
IP: 30

Soft:
Node.js, macOS, Telegram, Proxifier, Windows Installer, Unix, Chrome, Chromium, Opera, Vivaldi, have more...

Wallets:
rabby, exodus_wallet, metamask, coinbase, tronlink, coin98, safepal, solflare, braavos_wallet, ronin_wallet, have more...

Crypto:
multiversx, ethereum, tezos, binance, casper

Algorithms:
xor, zip

Functions:
Video, eval

Languages:
python, javascript

Platforms:
cross-platform

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, code: 5, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в растущих угрозах кибербезопасности, исходящих от Lazarus Group из-за их финансируемой кампании, нацеленной на разработчиков с помощью вредоносных скриптов на Python и вариантов вредоносного ПО, таких как CivetQ и BeaverTail. Группа использует тактику обмана, развивает свои возможности вредоносного ПО, использует методы обфускации и продолжает разрабатывать и модифицировать свои инструменты, чтобы избежать обнаружения и нацелиться на жертв, включая специалистов по блокчейну и криптовалютные кошельки.
-----

В тексте описывается растущая угроза, исходящая от финансируемой Lazarus Group кампании против разработчиков, в которой основное внимание уделяется их последним скриптам на Python и вариантам вредоносного по CivetQ и BeaverTail. Вредоносное ПО BeaverTail распространяется с помощью тактики обмана, такой как поддельные сценарии собеседований при приеме на работу и мошеннические приложения для видеоконференций. Кроме того, группа нацелена на профессионалов в области блокчейна через различные платформы для поиска работы, такие как WWR, Moonlight и Upwork, используя Telegram для продолжения общения и распространения вредоносного ПО.

В расфокусированный вредоносных программ, которые были первоначально определены как JavaScript, стали включать нативную версию macOS и питона вариант с расширенными возможностями, как настройка AnyDesk для удаленного доступа и Node.js trojanizing веб-проекты игры. Lazarus также использует методы обфускации, более сложные методы внедрения кода и расширенный таргетинг на браузерные расширения и данные, включая криптовалютные кошельки и приложения для создания заметок.

Кампания включает в себя постоянные обновления и модификации, позволяющие избежать обнаружения, при этом BeaverTail выступает в качестве загрузчика для последующих вредоносных программ, таких как InvisibleFerret, кроссплатформенный бэкдор на Python с такими функциями, как удаленное управление, кейлоггинг и утечка данных. Lazarus постоянно совершенствует свои средства защиты от вредоносных программ, корректируя методы обфускации, такие как шифрование в стиле матрешки, чтобы избежать обнаружения.

Группа Lazarus использует модульный подход, при котором каждый скрипт выполняет отдельные задачи, такие как извлечение данных, обеспечение сохраняемости и изменение системных файлов для удаленного доступа. Группа постоянно обновляет свои скрипты и точки входа в хранилище, чтобы избежать обнаружения и изменить свои вредоносные действия. В тексте также рассматриваются различные хранилища вредоносных программ, обнаруженные в ходе исследований, демонстрирующие широту операций Lazarus и их растущую изощренность в поиске жертв.

#ParsedReport #CompletenessLow
07-09-2024

Banking Trojans: Mekotio Looks to Expand Targets, BBTok Abuses Utility Command. Evolving lures

https://www.trendmicro.com/en_us/research/24/i/banking-trojans-mekotio-looks-to-expand-targets--bbtok-abuses-ut.html

Report completeness: Low

Threats:
Mekotio
Bbtok
Alfonso_stealer
Grandoreiro

Victims:
Latin american users, Manufacturing companies, Retail, Technology enterprises, Financial services

Industry:
Retail, Financial

Geo:
Mexico, Brazilian, Latin american, Spain, Latin americas, Chile, Columbia, Peru, Brazil, Argentina

ChatGPT TTPs:
do not use without manual check
T1566, T1059, T1105, T1082, T1071, T1543

IOCs:
File: 4
Hash: 52
Url: 8

Soft:
AutoHotKey

Algorithms:
zip

Languages:
powershell