#ParsedReport #CompletenessHigh
09-10-2024

LemonDuck Unleashes Cryptomining Attacks Through SMB Service Exploits

https://notes.netbytesec.com/2024/10/lemonduck-unleashes-cryptomining.html

Report completeness: High

Threats:
Lemonduck
Eternalblue_vuln
Mimikatz_tool
Passthehash_technique
Coinminer

Geo:
Taiwan

CVEs:
CVE-2017-0144 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft server message block (1.0)


TTPs:

IOCs:
File: 13
IP: 1
Path: 2
Domain: 1
Hash: 1

Soft:
Windows Defender, Windows Task Scheduler

Algorithms:
md5, base64

Functions:
userlist, pslist, exploit, smb_pwn, smb_send_file, mmka

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, chart: 1, windows: 2, table: 2, code: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основной идеей текста является подробный анализ вредоносного ПО LemonDuck, которое использует уязвимость EternalBlue в целевых системах для майнинга криптовалют. Злоумышленник использует различные тактики, такие как фишинговые электронные письма, атаки методом перебора, использование PowerShell и манипулирование системными службами, чтобы избежать обнаружения, установить контроль и обеспечить постоянство работы скомпрометированных систем. В сообщении в блоге также подчеркивается важность индикатора компрометации (IOCs), который помогает специалистам по безопасности выявлять потенциальные компрометации и дает представление о методах злоумышленника, таких как переименование и перемещение вредоносных исполняемых файлов, обход антивирусного программного обеспечения и установление связи командования и контроля (C2).
-----

В сообщении в блоге обсуждается вредоносная программа Lemduck, которая использует уязвимость EternalBlue (CVE-2017-0144) в протоколе Microsoft Server Message Block (SMB) для майнинга криптовалют. Компания Lemduck известна тем, что использует слабые места малого и среднего бизнеса с помощью фишинговых электронных писем, атак методом перебора и PowerShell, чтобы избежать обнаружения и нацеливания систем на криптоджекинг. Злоумышленник скомпрометировал пользователя "Администратор" с помощью атаки методом перебора на уязвимый SMB-сервис, создав скрытые административные общие ресурсы и выполнив ряд вредоносных действий для сохранения и контроля над системой.

Злоумышленник использовал PowerShell и запланированные задачи для загрузки и выполнения вредоносных программ, манипулирования системными службами, отключения таких мер безопасности, как защитник Windows, и установления связи между командами и контролем (C2) посредством переадресации портов на внешний IP-адрес. Кроме того, злоумышленник переименовал и переместил вредоносные исполняемые файлы, такие как svchost.exe и dig.exe, чтобы избежать обнаружения антивирусным программным обеспечением и обеспечить сохраняемость.

В сообщении в блоге также освещаются индикаторы компрометации (IOCs), связанные с вредоносным ПО Lemduck, такие как IP-адреса, помеченные для вредоносных действий, таких как атаки методом перебора, и вредоносные файлы, такие как FdQn.exe (msInstall.exe) и skuAtH.exe (svchost.exe). Эти IoC могут помочь специалистам по безопасности оценить потенциальные компромиссы в их среде.

Кроме того, злоумышленник выполнял команды для загрузки скриптов с вредоносных URL-адресов (http://t.amynx.com/gim.jsp), создания запланированных задач для запуска вредоносного ПО и уклонения от обнаружения путем мониторинга доступности PowerShell и системных служб. Запланированные задачи были настроены на запуск вредоносных файлов через регулярные промежутки времени, что обеспечивало постоянство и непрерывную компрометацию системы.

В сообщении также содержится подробная информация о конкретных тактиках и приемах, используемых злоумышленником, включая отключение защитника Windows, изменение правил брандмауэра, управление запланированными задачами для запуска вредоносного ПО и установление связи C2 с помощью проксирования портов. Значения хэшей для вредоносных файлов, URL-адресов и IP-адресов, связанных с атакой, представлены для идентификации и дальнейшего анализа специалистами по безопасности.

#ParsedReport #CompletenessHigh
09-10-2024

Reign of King: Obstinate Mogwai Faction Tactics and Tools

https://rt-solar.ru/solar-4rays/blog/4753

Report completeness: High

Actors/Campaigns:
Obstinate_mogwai (motivation: cyber_espionage, information_theft)
Hafnium
Apt31
Webworm

Threats:
Reign
Trochilus_rat
Donnect
Dimanorat
Venom_proxy_tool
Kingofhearts
Powerpool
Viewstate_deserialization_vuln
Proxylogon_exploit
Nbtscan_tool
Dll_sideloading_technique
Cmpspy
Antspy
Antak
Aspxspy_shell
Dcsync_technique
Webdav-o_rat
Winrm_tool
Sessiongopher_tool
Putty_tool
Superputty_tool
Kerberoasting_technique
Passthehash_technique
Grewapacha
Nishang_tool
Bloodhound_tool
Adfind_tool
Smbexec_tool
Impacket_tool
Vmprotect_tool
Credential_dumping_technique
Mimikatz_tool
Process_injection_technique

Victims:
Government organizations, It companies, Russian organizations

Industry:
Government

Geo:
Asian, Russian, Asia, Russia

CVEs:
CVE-2012-0002 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 7 (*)
- microsoft windows server 2003 (*)
- microsoft windows server 2008 (*, -, r2)
- microsoft windows vista (*)
- microsoft windows xp (*, -)
have more...

TTPs:
Tactics: 10
Technics: 47

IOCs:
Path: 89
IP: 47
Domain: 32
File: 26
Registry: 4
Command: 10
Hash: 67

Soft:
Microsoft Exchange, task scheduler, Winlogon, WinSCP, Active Directory, Windows Remote Desktop Protocol, RDCMan, Sysinternals, Windows Media, Unix, have more...

Algorithms:
sha256, md5, xor, 7zip, base64, 3des, sha1

Functions:
RPC

Win Services:
Ntmssvc

Languages:
powershell, ruby, visual_basic

Platforms:
x64, x86

Links:
https://github.com/0x7556/smbexec
https://github.com/canc3s/OXID
https://github.com/fullmetalcache/tools/blob/master/autokerberoast\_nomimi\_stripped.ps1
https://github.com/Dliv3/Venom
https://github.com/Kevin-Robertson/Inveigh
https://github.com/3gstudent/Homework-of-Powershell/blob/master/dns-dump.ps1
https://github.com/BloodHoundAD/SharpHound
https://github.com/fengwenhua/CMPSpy/blob/main/ConfigureRegistrySettings.ps1
https://github.com/tennc/webshell/blob/master/net-friend/aspx/aspxspy/aspxspy.aspx
https://github.com/Arvanaghi/SessionGopher
https://github.com/WinRb/WinRM
https://github.com/samratashok/nishang/blob/master/Antak-WebShell/antak.aspx
https://github.com/samratashok/nishang/blob/master/Backdoors/DNS\_TXT\_Pwnage.ps1
https://github.com/fengwenhua/CMPSpy
https://github.com/fortra/impacket
https://github.com/samratashok/nishang
https://github.com/iSecurity-Club/Pentest-Methodologies/blob/master/web-exploit-exp/PHP-reverse-shell/big-shell.php
https://github.com/Kevin-Robertson
https://github.com/3gstudent/Homework-of-C-Language/blob/master/sekurlsa-wdigest.cpp
https://github.com/charlesroelli/nbtscan
https://github.com/tennc/webshell/blob/master/aspx/nishang/Antak-WebShell/antak.aspx

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 1, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в подробном описании изощренной хакерской группировки под названием Obstinate Mogwai, которая, как полагают, поддерживается государством и действует в Восточной Азии. Группа атакует правительственные организации, ИТ-компании и подрядчиков, используя различные тактики для проникновения в целевые сети, включая использование общедоступных сервисов, доверительных отношений с подрядчиками и законных учетных записей. Упрямый Могвай известен своей настойчивостью, скрытной тактикой и использованием различных вредоносных инструментов. Деятельность группы частично совпадает с деятельностью других азиатских APT-групп, что позволяет предположить наличие сети взаимосвязанных действий по кибершпионажу в регионе. Также отмечается постоянное развитие и совершенствование их набора вредоносных инструментов.
-----

В тексте описывается деятельность изощренной хакерской группировки под названием Obstinate Mogwai, которая, как полагают, поддерживается государством и действует в Восточной Азии. Целью группировки в первую очередь являются правительственные организации, IT-компании и их подрядчики. Расследования, проведенные в период с 2023 по начало 2024 года, выявили, что Упрямый Могвей использовал различные тактики для проникновения в целевые сети, включая использование общедоступных сервисов, доверительных отношений с подрядчиками и законных учетных записей, уделяя особое внимание компрометации серверов Exchange.

Группа использовала различные вредоносные программы, в том числе такие известные, как KingOfHearts и TrochilusRAT, а также более новые бэкдоры под названием Donnect и DimanoRAT. Подчеркивается настойчивость Упрямого Могвая во взломе сетей, приводя примеры непрерывных попыток проникновения даже после того, как они были многократно пресечены.

Группа известна своей тактикой скрытия, например, сокрытием вредоносных программ в легальном коде, чтобы избежать обнаружения. Было замечено, что они используют различные методы утечки информации, включая использование скриншотов и записей экрана, чтобы избежать обнаружения.

Операции Упрямого Могвая частично совпадали с действиями других азиатских APT-групп, таких как IAmTheKing, HAFNIUM и APT31. Были выявлены связи с предыдущими инцидентами, связанными с использованием уязвимостей, таких как ProxyLogon, и таких инструментов, как TrochilusRAT. Было задокументировано, что группа использовала целый ряд вредоносных программ и методов удаленного администрирования, утечки данных и обхода сети.

В тексте также упоминается связь группы с другими участниками угроз и демонстрируется сходство в тактике и используемых инструментах, что наводит на мысль о сети взаимосвязанных действий по кибершпионажу в регионе. Кроме того, обсуждается новая версия бэкдора KingOfHearts, развернутая в .NET и сделанная модульной для взаимодействия с C2, что указывает на постоянную разработку и усовершенствование их набора вредоносных инструментов.

#ParsedReport #CompletenessHigh
09-10-2024

Mind the (air) gap: GoldenJackal gooses government guardrails

https://www.welivesecurity.com/en/eset-research/mind-air-gap-goldenjackal-gooses-government-guardrails

Report completeness: High

Actors/Campaigns:
Goldenjackal (motivation: cyber_espionage, sabotage)
Turla
Moustachedbouncer

Threats:
Mata
Goldendealer
Goldenhowl
Goldenrobo
Goldenusbcopy
Goldenusbgo
Goldenace
Goldenblacklist
Goldenpyblacklist
Goldenmailer
Goldendrive
Jackalcontrol
Jackalsteal
Jackalworm
Jackalperinfo
Jackalscreenwatcher
Agent_btz
Pysoxy_tool
Robocopy_tool
Plink_tool
Impacket_tool
Eternalblue_vuln

Victims:
Governmental organization, Embassy

Industry:
Government

Geo:
Asian, Asia, Belarus, Russian, Ukraine, Middle east

TTPs:
Tactics: 11
Technics: 50

IOCs:
Registry: 1
Path: 8
Url: 5
File: 16
IP: 2
Command: 1
Email: 3
Hash: 12
Domain: 3

Soft:
Windows Explorer, Windows SMB, PsExec, Outlook, PyInstaller, OpenSSL, Microsoft Office, Microsoft Outlook, office365, WordPress, have more...

Algorithms:
xor, base64, aes, zip, sha256, fnv-1a, gzip

Win API:
CreateProcessW, GetUserNameW

Languages:
python, powershell

Platforms:
x86

Links:
https://github.com/worawit/MS17-010/
https://github.com/python/cpython/blob/3.12/Lib/http/server.py
https://github.com/fortra/impacket
https://github.com/eset/malware-ioc/tree/master/goldenjackal
https://github.com/MisterDaneel/pysoxy/

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, code: 3, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в анализе компанией ESET Research кибершпионажной деятельности, проводимой агентом по борьбе с угрозами GoldenJackal, с акцентом на их нацеливание на защищенные системы и правительственные организации в Европе, на Ближнем Востоке и в Южной Азии. Анализ раскрывает инструменты и тактику, используемые GoldenJackal, подчеркивая их возможности по компрометации сетей и сохранению в целевых средах на протяжении нескольких лет. Исследование проливает свет на эволюционирующий характер, изобретательность и изощренность группы в осуществлении кибершпионажа.
-----

GoldenJackal - это участник кибершпионажа, известный своими атаками на системы с воздушными зазорами.

С мая 2022 по март 2024 года GoldenJackal атаковал правительственную организацию в Европе.

Набор инструментов GoldenJackal включает в себя такие имплантаты, как JackalControl, JackalSteal, JackalWorm, JackalPerInfo и JackalScreenWatcher для шпионской деятельности.

GoldenJackal использовал в атаках пользовательские инструменты, такие как GoldenDealer, GoldenHowl и GoldenRobo, со специфическими функциями для доставки файлов, бэкдора и эксфильтрации файлов.

Было замечено, что скрипты PowerShell и инструменты, такие как Plink и PsExec, использовались GoldenJackal для развертывания бэкдоров и других вредоносных инструментов.

В мае 2022 года GoldenJackal перешел на новый набор инструментов, ориентированный на правительственную организацию в Европе. Компоненты, написанные на Go, ориентированы на сбор файлов с USB-накопителей, боковое перемещение и эксфильтрацию файлов.

Были выявлены дополнительные компоненты, такие как GoldenUsbCopy, GoldenAce, GoldenBlacklist, GoldenPyBlacklist, GoldenMailer и GoldenDrive, которые используются для сбора файлов, распространения вредоносных исполняемых файлов, обработки сообщений электронной почты и эксфильтрации файлов.

Анализ показывает, что GoldenJackal на протяжении пяти лет применяла различные наборы инструментов, демонстрируя изобретательность и осведомленность о методах сегментации сети.

#ParsedReport #CompletenessMedium
09-10-2024

Operation MiddleFloor: Disinformation campaign targets Moldova ahead of presidential elections and EU membership referendum. Introduction. Introduction

https://research.checkpoint.com/2024/disinformation-campaign-moldova

Report completeness: Medium

Actors/Campaigns:
Middlefloor (motivation: disinformation, hacktivism)
Lying_pigeon (motivation: disinformation)
Doppelgnger (motivation: disinformation)
Noname057

Threats:
Spear-phishing_technique
Lumma_stealer

Industry:
Government, Education, Energy, Ngo, Petroleum

Geo:
Moldova, Russian, Africa, Spanish, Lithuania, Poland, Polish, Belarus, Russia, Middle east, Spain

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566.001, T1560

IOCs:
Domain: 49
File: 9
Hash: 9
IP: 11
Email: 1

Soft:
Telegram, Mailcow, Dropbox

Algorithms:
sha256, md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что кампания дезинформации с использованием киберпространства, известная как "Lying Pigeon", которая, как полагают, соответствует интересам России, направлена против правительства и сферы образования Молдовы в преддверии выборов в стране. Кампания направлена на то, чтобы повлиять на общественное мнение, распространяя негативное восприятие европейских ценностей, процесса вступления в ЕС и проевропейского руководства Молдовы. Злоумышленники используют различные тактики, такие как выдача себя за учреждения Европейского союза и министерства Молдовы, для распространения поддельного контента по электронной почте, а также участвуют в распространении вредоносных программ. Противодействие таким угрозам имеет решающее значение для обеспечения целостности демократии и кибербезопасности в Европе.
-----

В начале августа исследование Check Point выявило кампанию дезинформации с использованием киберпространства, направленную против правительства и сферы образования Молдовы в преддверии выборов в стране, которые состоятся 20 октября. Злоумышленники, известные как "Lying Pigeon", стремятся повлиять на общественное мнение, распространяя негативное восприятие европейских ценностей, процесса вступления в ЕС и проевропейского руководства Республики Молдова. Кампания затрагивает различные деликатные темы, включая проблемы с поставками газа, ценами на топливо, проблемы ЛГБТ, меры по борьбе с коррупцией, изменения в сфере образования, иммиграции и изменения на рынке труда. "Lying Pigeon", который, как полагают, связан с интересами России, активно действует в Европе с начала 2023 года, нацеливаясь на такие события, как саммит НАТО в Вильнюсе и всеобщие выборы в Испании.

В рамках продолжающейся кампании по дезинформации Operation MiddleFloor в качестве основного метода распространения и сбора информации используются электронные письма. Электронные письма выдают себя за учреждения Европейского союза, министерства Республики Молдова и политических деятелей для распространения поддельного контента и сбора данных о жертвах. Кампания направлена на то, чтобы заложить основу для потенциальных целевых атак вредоносных программ. Хотя электронные письма имеют ограниченный вирусный охват по сравнению с социальными сетями, они обеспечивают отслеживаемую инфраструктуру, позволяющую властям более эффективно выявлять источники дезинформации.

Кампания по дезинформации включает в себя поддельные документы, направленные против молдавских чиновников по таким темам, как изменение миграционной политики и повышение цен на газ. Эти поддельные сообщения направлены на манипулирование общественным восприятием и создание путаницы. Используя уязвимости в среде обитания жертв, злоумышленники могут проводить кампании скрытого фишинга и другие целенаправленные атаки, в том числе на проезжую часть.

В рамках кампании несколько доменов и IP-адресов взаимосвязаны, что позволяет отнести их к одной и той же операции. Злоумышленники зарегистрировали домены для подмены европейских и молдавских организаций и использовали различные тактики для осуществления своей дезинформационной деятельности. Усилия по дезинформации являются частью более широкой стратегии Lying Pigeon по влиянию на политическую стабильность и демократические процессы не только в Молдове, но и в других европейских странах, таких как Испания. Группа сочетает дезинформацию с распространением вредоносных программ, что свидетельствует о сложном и многогранном подходе к их деятельности.

Мониторинг и противодействие деятельности таких опасных субъектов, как Lying Pigeon, имеют решающее значение для обеспечения целостности демократии и кибербезопасности в Европе. Постоянное вмешательство в демократические процессы и двойной подход к распространению дезинформации и сбору информации представляют серьезную угрозу политической стабильности и общественному доверию к законным институтам.

#ParsedReport #CompletenessMedium
09-10-2024

Contagious Interview: DPRK Threat Actors Lure Tech Industry Job Seekers to Install New Variants of BeaverTail and InvisibleFerret Malware

https://unit42.paloaltonetworks.com/north-korean-threat-actors-lure-tech-job-seekers-as-fake-recruiters

Report completeness: Medium

Actors/Campaigns:
Contagious_interview (motivation: financially_motivated)

Threats:
Beavertail
Invisibleferret
Anydesk_tool

Victims:
Job-seeking individuals

Geo:
North korea, Korea, Dprk, North korean

ChatGPT TTPs:
do not use without manual check
T1071.001, T1056.001, T1189, T1566.001

IOCs:
IP: 3
Domain: 1
File: 1
Hash: 29

Soft:
macOS, MiroTalk, Chrome, Microsoft Edge

Wallets:
metamask, coinbase, tronlink, coin98, rabby, exodus_wallet

Crypto:
binance

Algorithms:
sha256

Languages:
python, javascript

Platforms:
cross-platform

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, code: 3, schema: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Подразделение 42 выявило кампанию, приписываемую злоумышленникам из КНДР, нацеленную на тех, кто ищет работу в сфере технологий, используя поддельные данные рекрутеров для распространения вредоносных программ, включая загрузчик BeaverTail и бэкдор InvisibleFerret. Кампания включает в себя тактику социальной инженерии, постоянные обновления кода и расширение целей, демонстрируя эволюционирующий характер вредоносной активности. Злоумышленники стремятся сохранить контроль над зараженными компьютерами для получения потенциальной финансовой выгоды, подчеркивая необходимость бдительности и анализа угроз в отношении таких сложных киберугроз.
-----

Подразделение 42 выявило кампанию, известную как CL-STA-240 Contagious Interview, которую приписывают злоумышленникам, связанным с Корейской Народно-Демократической Республикой (КНДР). В этой кампании злоумышленники, выдающие себя за рекрутеров, нацелены на соискателей работы в сфере высоких технологий с целью установки вредоносного ПО на их устройства. Впервые о кампании стало известно в ноябре 2023 года, и с тех пор подразделение 42 наблюдало за текущей онлайн-активностью этих фальшивых рекрутеров, а также за обновлениями двух компонентов вредоносного ПО: загрузчика BeaverTail и бэкдора InvisibleFerret.

Вредоносная программа BeaverTail, связанная с этой кампанией, была скомпилирована с использованием платформы Qt framework еще в июле 2024 года, и ее варианты были обнаружены как для платформ macOS, так и для Windows. Были отмечены постоянные обновления кода для бэкдора InvisibleFerret, который поставляется загрузчиком BeaverTail. Эти обновления указывают на эволюционный характер вредоносного ПО, используемого в этой кампании.

Злоумышленники, стоящие за CL-STA-0240, обычно связываются с разработчиками программного обеспечения через платформы для поиска работы под видом потенциальных работодателей. Они проводят онлайн-собеседования с жертвами, где убеждают их загрузить и установить вредоносное ПО. Недавние сообщения и активность в социальных сетях показали, что эта вредоносная деятельность продолжается. Один из примеров связан с использованием поддельного онлайн-технического опроса, в ходе которого жертва выполняла вредоносный код, который подключался к командному серверу злоумышленника.

BeaverTail, который в этой кампании выполняет функции загрузчика и похитителя информации, доставляется с помощью файлов, замаскированных под законные приложения. Вредоносное ПО, которое теперь кодируется с помощью Qt, нацелено на системы Windows и macOS одновременно. После установки на компьютер жертвы он извлекает данные и выполняет дополнительную полезную нагрузку, и все это время незаметно работает в фоновом режиме. Примечательно, что новая версия BeaverTail расширила свои цели, включив в нее 13 различных браузерных расширений для криптовалютных кошельков, демонстрирующих финансовые интересы участников угроз.

В дополнение к BeaverTail, кампания включает в себя внедрение бэкдора InvisibleFerret на Python, способного снимать отпечатки пальцев с конечных точек, осуществлять удаленное управление, вести кейлоггинг, фильтрацию данных и красть учетные данные браузера. Постоянные изменения кода в InvisibleFerret свидетельствуют о постоянных усилиях авторов вредоносной программы по расширению ее возможностей и уклонению от обнаружения.

Цепочка заражения в этой кампании начинается с установки BeaverTail и завершается развертыванием кроссплатформенного бэкдора InvisibleFerret. Злоумышленники стремятся сохранить контроль над зараженными компьютерами и получить доступ к конфиденциальным данным для получения потенциальной финансовой выгоды. Сообществу настоятельно рекомендуется проявлять бдительность в отношении таких сложных кампаний социальной инженерии и использовать информацию об угрозах для усиления защиты от развивающихся киберугроз.

#cyberthreattech

Интегрировали проект https://lolrmm.io, т.ч. теперь в фиде у нас есть тег rmm. Но т.к. это ПО "двойного назначения", score "мусорного уровня" и равен 20.

#ParsedReport #CompletenessHigh
09-10-2024

Wreaking havoc in cyberspace: threat actors experiment with pentest tools

https://bi.zone/eng/expertise/blog/khaos-v-kiberprostranstve-gruppirovki-eksperimentiruyut-s-instrumentami

Report completeness: High

Actors/Campaigns:
Mysterious_werewolf

Threats:
Havoc
Cobalt_strike
Metasploit_tool
Sliver_c2_tool
Mythic_c2
Spear-phishing_technique
Smuggling_technique

Industry:
Government, Education, Healthcare

CVEs:
CVE-2024-7965 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<128.0.6613.84)


TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 10
IP: 5
Path: 2
Domain: 1
Hash: 21
Url: 4

Soft:
cURL, Microsoft OneDrive

Algorithms:
xor, sha256, md5, sha1, base64

Win API:
VirtualAllocExNuma, VirtualProtect, CreateThread

Languages:
powershell, javascript

Platforms:
x64, x86