#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в раскрытии и анализе киберкампании под названием "ErrorFather", использующей троянскую программу Cerberus для Android, предназначенную для пользователей Android. В кампании используются сложные методы, включая многоэтапное заражение, кейлоггинг, оверлейные атаки, VNC и алгоритм генерации домена (DGA). Анализ показывает, что злоумышленники переоснащали и перепрофилировали утечку кода на базе Cerberus для совершения финансовых махинаций против пользователей Android, подчеркивая сохраняющийся риск, связанный с такими атаками, даже спустя годы после обнаружения первоначального вредоносного ПО.
-----

Лаборатории Cyble Research and Intelligence Labs раскрыли киберкампанию "ErrorFather", в которой использовался необнаруженный банковский троян Cerberus для Android, нацеленный на пользователей Android.

Кампания включает в себя сложную цепочку заражения, состоящую из нескольких этапов, что затрудняет усилия по обнаружению и удалению инфекции.

Активность кампании ErrorFather возросла в сентябре и октябре 2024 года, что свидетельствует об активном нацеливании и масштабировании действий участников угрозы.

Конечная полезная нагрузка кампании включает в себя ведение кейлогга, оверлейные атаки, VNC и алгоритм генерации домена (DGA) для вредоносных действий.

Банковский троянец Cerberus для Android приобрел дурную славу за то, что нацелился на финансовые приложения и приложения для социальных сетей с помощью таких методов, как кейлоггинг, оверлейные атаки, VNC и использование сервиса специальных возможностей.

Новые варианты, такие как "Alien" и "ERMAC", появились после утечки исходного кода Cerberus, а также банковского трояна Phoenix для Android.

Кампания ErrorFather содержит около 15 примеров, связанных с дропперами на основе сеансов и их полезной нагрузкой, а текущие кампании поддерживаются активным сервером управления (C&C).

Конечная полезная нагрузка вредоносного ПО включает в себя такие функции, как кейлоггинг, оверлейные атаки, VNC и сбор персональных данных.

Несмотря на низкое количество обнаружений на начальном этапе, более глубокий анализ выявил значительное сходство кода с Cerberus в финальной полезной нагрузке, используемой в кампании ErrorFather.

Вредоносная программа использует методы для получения доступа к серверам C&C, реализации функций VNC и наложения атак для осуществления своей вредоносной деятельности.

Кампания отражает тенденцию киберпреступников к повторному использованию просочившегося вредоносного ПО, подчеркивая сохраняющиеся риски, связанные с атаками на базе Cerberus.

Несмотря на изменения, суть кампании ErrorFather по-прежнему основана на оригинальном коде Cerberus, что подчеркивает постоянную угрозу, исходящую от обновленного вредоносного ПО, появившегося в результате прошлых утечек.

#ParsedReport #CompletenessLow
15-10-2024

Malicious JavaScript Code Sent Through Emails via PEC (Posta Elettronica Certificata)

https://www.forcepoint.com/blog/x-labs/malicious-javascript-code-sent-via-pec-email-italy

Report completeness: Low

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1047, T1564.003, T1140

IOCs:
File: 2
Domain: 2
Hash: 2
Url: 10

Soft:
curl, Console Window Host

Algorithms:
sha1, base64, xor

Functions:
honour_march_0thehas

Languages:
php, powershell, javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обсуждении вредоносного скрипта PowerShell, который использует операции XOR над массивами и запутанные ASCII-коды для взаимодействия с определенными URL-адресами, потенциально в вредоносных целях, через инструментарий управления Windows (WMI). Кроме того, в тексте подчеркивается угроза использования Posta Elettronica Certificata (PEC) для доставки вредоносных электронных писем с запутанным кодом JavaScript и упоминается, как Forcepoint обеспечивает защиту от таких угроз, выявляя и блокируя вредоносные URL-адреса и домены.
-----

В тексте описывается вредоносный скрипт, который использует операции XOR между элементами двух массивов. Результат преобразуется в символы с помощью String.fromCharCode(). Скрипт написан в PowerShell и, по-видимому, запутан. Ключевые элементы включают динамическое создание нового псевдонима с именем "press" на основе переменной, использование чисел, представляющих запутанные ASCII-коды, и выполнение команд для взаимодействия с определенным URL-адресом с помощью curl.

Скрипт также ссылается на переменные и функции, такие как "honour_march_0wasbut", которые инициализируют функции и переменные на основе определенных условий. Он использует инструментарий управления Windows (WMI) для доступа к системной информации и взаимодействия с процессами, что потенциально может быть использовано в вредоносных целях, таких как завершение процессов, связанных с безопасностью, или запуск нежелательных процессов в скрытом режиме.

Скрипт содержит строки с комментариями и скрытый активный код между ними, который может привести к хранению нежелательных данных в памяти и скрыть вредоносный код. Он также содержит запутанный код PowerShell для подключения к промежуточному URL-адресу, который может быть сервером управления.

В тексте подчеркивается растущая угроза использования Posta Elettronica Certificata (PEC) для доставки нежелательных электронных писем с вредоносным и запутанным кодом JavaScript, используя доверие, связанное с PEC, для обхода фильтров безопасности. Клиенты Forcepoint защищены от этой угрозы на различных этапах атаки, включая идентификацию и блокировку вредоносных URL-адресов, добавление файлов-дропперов в базу данных вредоносных программ и блокировку доменов управления.

#ParsedReport #CompletenessLow
16-10-2024

Using ZoomEye Platform for C2 Asset Expansion. 1 Abstract

https://medium.com/@knownsec404team/using-zoomeye-platform-for-c2-asset-expansion-50ee8d779c39?source=rss-f1efd6b74751------2

Report completeness: Low

Threats:
Avoslocker
Cobalt_strike
Metasploit_tool

Industry:
Critical_infrastructure

Geo:
London

ChatGPT TTPs:
do not use without manual check
T1105, T1003, T1572, T1055, T1071, T1102, T1190, T1018

IOCs:
IP: 6
File: 17
Hash: 17

Soft:
Debian, ApacheBench

Functions:
C2

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, dump: 3, table: 2, code: 3, schema: 2, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В статье рассматривается анализ ресурсов сервера C2 хакерской организации с акцентом на использование ими программ-вымогателей, троянских файлов и популярных инструментов атаки, таких как CobaltStrike и Metasploit. Исследователи определили оперативную тактику, каналы связи, характеристики файлов и схемы работы организации, что пролило свет на их методы работы и предоставило ценную информацию специалистам по кибербезопасности и правоохранительным органам.
-----

Идентифицирована хакерская организация, использующая AvosLocker.exe файл, связанный с программой-вымогателем AvosLocker.

Использовал CobaltStrike и Metasploit для создания образцов троянской программы C2.

Серверы C2 в основном работали на коммуникационных портах в диапазоне 7000-8000.

Концентрированные серверные ресурсы C2 в Великобритании с четким разделением труда.

Наблюдается сдвиг в сторону более доступного и низкопорогового подхода к борьбе с киберпреступностью.

Сосредоточьтесь на расширении сети с помощью программ-вымогателей и сбора паролей на скомпрометированных хостингах.

Последовательное использование троянских программ CobaltStrike и Metasploit на разных серверах.

Порты связи для активов C2 в основном находились в диапазоне 7000-8000.

Наблюдался централизованный контроль и последовательный подход к разработке вредоносных программ внутри организации.

Предоставлена информация об оперативной тактике, наборах инструментов и инфраструктуре хакерской организации, связанной с деятельностью программ-вымогателей.

#ParsedReport #CompletenessHigh
15-10-2024

Beyond the Surface: the evolution and expansion of the SideWinder APT group

https://securelist.com/sidewinder-apt/114089

Report completeness: High

Actors/Campaigns:
Sidewinder (motivation: cyber_espionage)

Threats:
Tealerbot
Spear-phishing_technique
Sandbox_evasion_technique
Uac_bypass_technique
Putty_tool
Confuserex_tool

Industry:
Military, Logistic, Petroleum, Education, Telco, Government

Geo:
Asia, Indonesia, Jordan, Sri lanka, Morocco, France, Djibouti, Nepal, Malaysia, United arab emirates, Middle east, Africa, Saudi arabia, Arab emirates, Bangladesh, Turkey, Afghanistan, Pakistan, India, Maldives, China, Myanmar

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566.001, T1203, T1218.005, T1036.005, T1562.001, T1574.002, T1115, T1033, T1497.001, T1082, have more...

IOCs:
Hash: 60
File: 34
Url: 1
Path: 4
Domain: 99

Soft:
Microsoft Office, Windows Registry, Telnet client, Windows Defender, Google Chrome, Gmail

Algorithms:
xor, zip, base64, des, aes, gzip

Win API:
GlobalMemoryStatusEx, GetProcAddress, GetCommandLineW, AmsiScanBuffer, SspiPrepareForCredRead, CryptProtectMemory, CredIsMarshaledCredentialW, CredUIPromptForWindowsCredentialsW, LogonUserW

Languages:
javascript

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, dump: 2, chart: 1, code: 2, windows: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - описание группы SideWinder APT, их тактики, целей, расширения деятельности и инструментов, которые они используют для шпионажа. В нем также подчеркивается последовательная цепочка заражения и отнесение их деятельности к группе SideWinder со средней и высокой степенью достоверности. Кроме того, в нем упоминается наличие дополнительной информации, индикаторов компрометации (IOCs) и правил YARA, специфичных для SideWinder, в службе отчетов Kaspersky Intelligence.
-----

SideWinder, также известная как T-APT-04 или RattleSnake, является весьма плодовитой APT-группой, которая начала свою деятельность в 2012 году и впервые получила публичное признание в 2018 году. Первоначально SideWinder сосредоточила свое внимание на крупных объектах в Южной и Юго-Восточной Азии, а затем нацелилась на военные и правительственные структуры в таких странах, как Пакистан, Шри-Ланка, Китай и Непал. Несмотря на то, что изначально их воспринимали как неквалифицированных исполнителей из-за использования общедоступных эксплойтов и инструментов, их истинные возможности раскрываются при ближайшем рассмотрении их деятельности.

Цепочка атак группы обычно начинается с рассылки фишинговых электронных писем, содержащих вредоносные вложения, часто в виде документов Microsoft OOXML или ZIP-архивов, которые, в свою очередь, приводят к развертыванию многоэтапного процесса заражения, завершающегося установкой шпионского инструмента StealerBot. SideWinder также использовала специально созданные RTF-файлы для использования уязвимостей в программном обеспечении Microsoft Office, демонстрируя сложную тактику уклонения от обнаружения.

Недавние расследования выявили расширение деятельности SideWinder, затрагивающее организации на Ближнем Востоке и в Африке. Недавно обнаруженный инструментарий для последующей эксплуатации под названием "StealerBot" был идентифицирован как основной инструмент, используемый SideWinder для шпионской деятельности. Инструментарий работает как модульный имплант, загружаемый в память модулем Backdoor loader, что позволяет запускать различные плагины, предназначенные для шпионских целей, и управлять ими.

Имплантат StealerBot взаимодействует с организатором, отвечающим за связь с серверами командования и контроля (C2), позволяя запускать различные модули наблюдения и управлять ими. Эти модули включают в себя такие возможности, как ведение кейлогга, создание скриншотов, кража файлов, сбор учетных данных и обход контроля учетных записей пользователей (UAC) для запуска вредоносного кода с повышенными привилегиями. Кроме того, специализированные модули предназначены для кражи учетных данных RDP, файлов cookie браузера Chrome и выполнения методов обхода контроля учетных записей пользователей на основе конфигураций целевой системы.

Кампании SideWinder были нацелены на широкий спектр секторов и стран, включая правительственные и военные структуры, логистику, инфраструктуру, телекоммуникации, финансовые учреждения, университеты и нефтетрейдинговые компании. Группа также преследовала дипломатические цели в таких странах, как Афганистан, Франция, Китай, Индия, Индонезия и Марокко.

Действия, приписываемые SideWinder, демонстрируют последовательную цепочку заражения и тактику, которые наблюдались при предыдущих атаках, включая удаленное внедрение шаблонов, схемы присвоения имен вредоносным поддоменам и развертывание известных компонентов, таких как .NET Downloader и модуль загрузки бэкдора. Такое сходство, наряду с целевыми организациями и секторами, позволяет отнести эти действия к группе SideWinder APT со средней или высокой степенью достоверности.

Клиенты службы отчетов Kaspersky Intelligence могут получить доступ к дополнительной информации, индикаторам компрометации (IOCs) и правилам YARA, специфичным для SideWinder, для получения расширенной информации об угрозах. Для получения дополнительной информации и доступа к ней рекомендуется обращаться в службу отчетов Kaspersky Intelligence.

#ParsedReport #CompletenessMedium
15-10-2024

Fake Ukrainian Bank Invoice Contains Malicious RMS Tool

https://www.forcepoint.com/blog/x-labs/fake-ukrainian-bank-invoice-malicious-rms-tool

Report completeness: Medium

Threats:
Rms_tool
Remote_manipulator_system_tool
Shadow_copies_delete_technique

Victims:
Government domains, Well-known companies, Government entities, Large businesses

Industry:
Government, Financial

Geo:
Emea, Ukrainian, Russian

ChatGPT TTPs:
do not use without manual check
T1071, T1203, T1113, T1053

IOCs:
Url: 1
File: 4
Hash: 7
IP: 3

Soft:
Embarcadero

Algorithms:
zip

Languages:
delphi

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в недавней мелкомасштабной атаке, которая имитировала законное подтверждение платежа от украинского банка, используя инструмент Remote Manipulator System (RMS) для взлома систем государственных доменов и известных компаний. Атака была связана с использованием вредоносных вложений в формате PDF, имитирующих официальный бланк банка, что привело к установке средства управления правами и последующей утечке системных данных на удаленный сервер управления в России. Злоумышленники атаковали различные организации с целью отслеживания действий пользователей и получения контроля над системами-жертвами. Несмотря на то, что содержание электронного письма было на украинском языке, получатели не владели им в совершенстве, что вызывало вопросы о мотивах злоумышленников. На различных этапах атака была предотвращена с помощью мер безопасности.
-----

Недавно команда X-Labs раскрыла мелкомасштабную атаку, которая маскировалась под законное подтверждение платежа от украинского банка. Эта атака была примечательна тем, что в ней использовался инструмент Remote Manipulator System (RMS) для контроля скомпрометированных систем. Целями этой атаки были государственные домены и известные компании. Несмотря на то, что содержание электронного письма было на украинском языке, вполне вероятно, что получатели не владели этим языком в совершенстве, что вызвало вопросы о мотивах злоумышленников. Само электронное письмо было коротким и непротиворечивым в разных вариантах, единственным отличием было имя отправителя в подписи, совпадающее с именем в поле "От кого". Эти имена были необычными даже для носителей украинского языка.

Вредоносное электронное письмо содержало вложение в формате PDF, имитирующее официальный бланк известного украинского банка "Приватбанк", в котором получателям предлагалось подтвердить платеж. В прикрепленном MSI-файле выполнялась установка средства управления правами и связанных с ним компонентов, таких как rutserv.exe и rfusclient.exe. Злоумышленники адаптировали эти инструменты, которые, по всей видимости, представляли собой модифицированные версии, скомпилированные с помощью компилятора Embarcadero Delphi, для автоматического подключения к удаленному серверу управления в России для извлечения системных данных. Вредоносная программа также управляла точками восстановления системы, создавая записи в реестре с помощью законного процесса SrTasks.exe и использовала службу теневого копирования томов vssvc.exe для управления резервными копиями и моментальными снимками. Вредоносная программа передавала данные через нестандартные порты для подключения C2.

Обнаруженные образцы вредоносного ПО RMS tool были разработаны для различных государственных учреждений и крупных предприятий с использованием поддельного счета-фактуры в формате PDF, который побуждал пользователей переходить по вредоносной ссылке. Вредоносное ПО тайно загружало и устанавливало множество файлов и архивов, одновременно развертывая RMS tool в фоновом режиме. Основной целью этой атаки было отслеживание действий пользователей и, в конечном счете, получение контроля над системой жертвы. Клиенты Forcepoint были защищены от этой угрозы на нескольких этапах атаки:.

Этап 2 (Lure): Вредоносные PDF-вложения, связанные с этой атакой, были распознаны и заблокированы.

Этап 3 (перенаправление): Используемый URL-адрес Bitbucket был классифицирован в соответствии с ограничениями безопасности.

Этап 5 (файл Dropper): Файлы dropper были включены в базу данных вредоносных программ Forcepoint, и их выполнение было предотвращено.

Этап 6 (звонок домой): Связь C2 была прервана из-за блокировки учетных данных.

#ParsedReport #CompletenessLow
15-10-2024

APT-C-35. Analysis of the APT-C-35 (Brainworm) attack on a South Asian manufacturing company

https://www.ctfiot.com/210064.html

Report completeness: Low

Actors/Campaigns:
Donot

Threats:
Double_kill_vuln
Double_star_vuln
Nightmare_formula_vuln

Victims:
Shibli electronics limited, National information technology commission of pakistan

Industry:
Government

Geo:
Pakistan, Pakistani, Asian, Asia

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)


ChatGPT TTPs:
do not use without manual check
T1203, T1059.001, T1071.001, T1140, T1112, T1050

IOCs:
Hash: 7
File: 7
Url: 8
Registry: 1
Domain: 1

Soft:
WeChat

Algorithms:
xor, md5

Win API:
CryptEnumOIDInfo

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-C-35, также известная как Donot, - это изощренная организация APT-атак из Южной Азии, нацеленная на правительственные учреждения в Пакистане и соседних странах с целью кражи конфиденциальной информации. Их действия по атакам включают использование макросов и документов об уязвимостях для внедрения новых компонентов атаки для утечки данных. Организация демонстрирует настойчивость в своих атаках, постоянно обновляя тактику и разрабатывая вредоносный код. Анализ, проведенный Институтом перспективных исследований угроз 360, выявил недавние атаки, которые подчеркивают необходимость упреждающего обнаружения угроз и принятия защитных мер для обеспечения безопасности национальной сети.
-----

APT-C-35, также известная как Donot, - это изощренная организация, осуществляющая атаки с использованием APT из Южной Азии, специально нацеленная на правительственные учреждения в Пакистане и соседних странах с целью кражи конфиденциальной информации. Их атаки продолжаются с 2016 года, и в последние годы их частота заметно возросла. Организация постоянно обновляет и совершенствует свои компоненты атаки, чтобы усовершенствовать свою тактику.

Совсем недавно 360 Advanced Threat Research Institute раскрыли атаки APT-C-35 на Пакистан с помощью ежедневного поиска угроз. В ходе этих атак организация использовала макродокументы и документы об уязвимостях в качестве носителей вредоносного по.Новые компоненты атаки NET для целей утечки данных. Эти компоненты редко использовались в предыдущих атаках и все еще находятся на стадии разработки, что требует анализа для повышения осведомленности и предотвращения обмана пользователей.

APT-C-35 использовал два метода для загрузки вредоносных компонентов в своих атаках. Первый метод заключался в использовании файла-приманки с макросами для выполнения нескольких уровней шелл-кода, что приводило к загрузке вредоносной библиотеки DLL. Во втором методе для загрузки документа в формате RTF, содержащего уязвимость, использовалось внедрение шаблона. При открытии документа и срабатывании уязвимости загружался файл-приманка и освобождалась вредоносная библиотека DLL.

Стратегия атаки включала в себя различные вредоносные образцы, в том числе образец макроса под названием "SOP - Payables.doc", замаскированный под финансовый отчетный документ пакистанской компании Shibli Electronics Limited. Встроенный макрокод в примере проверяет пароль перед выполнением ключевых функций, потенциально намекая на способ обхода инструментов динамического обнаружения, таких как изолированные системы, путем передачи пароля по электронной почте более высокого уровня. Кроме того, были обнаружены другие вредоносные макродокументы, которые не включали проверку пароля и выполняли различные шелл-коды в зависимости от архитектуры системы.

Проанализировав доменное имя ссылки для скачивания "office-updatecentral.com", было установлено, что оно связано с примером атаки на уязвимость, которую использовала группа Donot против Пакистана. Эта атака соответствовала предыдущим тактикам, методам и процедурам (TTP) организации Donot, демонстрируя сходство в выполнении кода, методах антивирусного обнаружения и методах манипулирования файлами. Организация APT-C-35 продемонстрировала настойчивость в своих атаках, расшифровывая и загружая полезную информацию слой за слоем с помощью шеллкода, включая запланированные задачи для постоянного присутствия и постоянно совершенствуя свой вредоносный код с помощью функциональной модульности.

Отнесение этих атак к организации APT-C-35 основано на тщательном анализе характера их атак, согласованности целей и активности в прошлом с момента их раскрытия в 2016 году. Неустанное стремление организации к внедрению передовых методов борьбы с угрозами подчеркивает важность упреждающего обнаружения угроз и мер защиты. Институт перспективных исследований угроз 360 играет ключевую роль в выявлении и раскрытии таких передовых угроз, внося значительный вклад в усилия по обеспечению национальной сетевой безопасности.

#ParsedReport #CompletenessMedium
16-10-2024

Operation "Code on Toast"

https://image.ahnlab.com/atip/content/file/20241015/(%EC%A0%84%EC%B2%B4%EB%B3%B8)%EA%B3%B5%EA%B0%9C%EB%B3%B4%EA%B3%A0%EC%84%9C-OperationCodeonToast.pdf

Report completeness: Medium

Actors/Campaigns:
Code_on_toast
Scarcruft

Threats:
Watering_hole_technique
Rtf_template_inject_technique
Ad_toast
Rokrat
Ollydbg_tool
Process_hacker_tool
Windbg_tool
Procmon_tool

Victims:
Domestic north korea experts, Defectors, Korean citizens, North korean experts

Geo:
North korea, Korean, North korean

CVEs:
CVE-2024-38178 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20751)
- microsoft windows 10 1607 (<10.0.14393.7259)
- microsoft windows 10 1809 (<10.0.17763.6189)
- microsoft windows 10 21h2 (<10.0.19044.4780)
- microsoft windows 10 22h2 (<10.0.19045.4780)
have more...
CVE-2020-1380 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft internet explorer (11)

CVE-2022-41128 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.19567)
- microsoft windows 10 1607 (<10.0.14393.5501)
- microsoft windows 10 1809 (<10.0.17763.3650)
- microsoft windows 10 20h2 (<10.0.19042.2251)
- microsoft windows 10 21h1 (<10.0.19043.2251)
have more...

ChatGPT TTPs:
do not use without manual check
T1203, T1071.001, T1140, T1027, T1105, T1055.012, T1197

IOCs:
File: 13
Hash: 5
Path: 2
Command: 1

Soft:
Internet Explorer, sysinternals, windump, wechat, Chrome, Opera, FireFox

Crypto:
ripple

Algorithms:
xor, aes-cbc, aes

Functions:
ex_func, SetValueType

Win API:
IsDebuggerPresent, ExitProcess

Languages:
ruby, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4