#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Cisco Talos раскрыла фишинговую кампанию, нацеленную на русскоязычных пользователей, использующую фишинговый инструментарий с открытым исходным кодом Gophish и предоставляющую полезные данные, такие как PowerRAT и DCRAT, с помощью вредоносных документов Word и HTML-файлов с JavaScript. Злоумышленник использует сложные методы, включая сценарии PowerShell в кодировке base64, чтобы использовать взаимодействие пользователей для компрометации системы, подчеркивая необходимость принятия усиленных мер кибербезопасности для эффективного противодействия таким угрозам.
-----

Cisco Talos обнаружила фишинговую кампанию с использованием инструментария Gophish с открытым исходным кодом, в которой использовались модульные цепочки заражения, требующие взаимодействия с пользователем для запуска процесса заражения.

В рамках кампании используются два трояна для удаленного доступа (RATs), PowerRAT и DCRAT, и ведутся работы по разработке PowerRAT, о чем свидетельствуют заполнители для сценариев PowerShell в кодировке base64.

Основной мишенью являются русскоязычные пользователи, о чем свидетельствует использование ненормативной лексики в фишинговых письмах и контент, напоминающий платформу социальных сетей "ВКОНТАКТЕ".

Домены, находящиеся под контролем злоумышленника, такие как disk-yanbex[.\]ru и e-connection[.\]ru, были идентифицированы как распространяющие вредоносные документы и отправляющие фишинговые электронные письма с экземпляра AWS EC2.

Атаки инициируются с помощью вредоносных документов Word и HTML-файлов, содержащих вредоносный JavaScript, что приводит к развертыванию PowerRAT или DCRAT в зависимости от выбранного вектора.

Методы включают в себя пользовательские макросы VB для развертывания вредоносных файлов, манипулирование разделами реестра Windows NT и использование JavaScript для обмана жертв и запуска вредоносного ПО.

Заражение DCRAT включает в себя запуск GOLoader, вредоносного исполняемого файла, который настраивает параметры антивируса, загружает DCRAT и активирует различные вредоносные действия на компьютере жертвы.

Исполнитель угроз демонстрирует сложный подход, подчеркивая необходимость бдительности и надежных мер кибербезопасности для эффективного противодействия таким угрозам.

#ParsedReport #CompletenessMedium
23-10-2024

The Crypto Game of Lazarus APT: Investors vs. Zero-days

https://securelist.com/lazarus-apt-steals-crypto-with-a-tank-game/114282

Report completeness: Medium

Actors/Campaigns:
Lazarus (motivation: financially_motivated)
Bluenoroff
Moonstone_sleet
Detankwar

Threats:
Volgmer
Sandbox_evasion_technique
Spear-phishing_technique

Victims:
Governments, Diplomatic entities, Financial institutions, Military and defense contractors, Cryptocurrency platforms, It and telecommunication operators, Gaming companies, Media outlets, Casinos, Universities, have more...

Industry:
Entertainment, Telco, Financial, Government, Education, Military

Geo:
Russia, North korean

CVEs:
CVE-2024-4947 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<125.0.6422.60)


ChatGPT TTPs:
do not use without manual check
T1203, T1566, T1001, T1059.007

IOCs:
Domain: 3
Coin: 1
File: 1
Hash: 2

Soft:
Google Chrome, Chrome, Twitter, Telegram, Microsoft Edge

Algorithms:
base64, aes, zip, aes-256

Functions:
SetNamedProperty

Win Services:
bits

Languages:
python, typescript, javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, chart: 1, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что группа Lazarus APT, включая ее подгруппу BlueNoroff, является опытной APT из Кореи, известным использованием своего фирменного вредоносного ПО Manuscrypt для атак на различные организации, такие как правительства, финансовые учреждения, военные подрядчики и другие. В тексте также рассказывается о недавнем инциденте, когда группа Lazarus APT использовала уязвимость нулевого дня в Google Chrome для заражения ПК жертвы, демонстрируя свою передовую тактику и методы социальной инженерии.
-----

Lazarus APT, а также его подгруппа BlueNoroff, являются известными APT из Кореи. Они используют в своих атаках фирменную вредоносную программу - бэкдор Manuscrypt. Эта вредоносная программа используется как минимум с 2013 года и была задокументирована в более чем 50 уникальных кампаниях, нацеленных на широкий круг организаций, включая правительства, финансовые учреждения, военных подрядчиков, криптовалютные платформы, игровые компании и многое другое.

В ходе недавнего инцидента, произошедшего 13 мая 2024 года, Kaspersky Total Security обнаружил новое заражение Manuscrypt на персональном компьютере физического лица в России. Эта необычная атака на физическое лицо привела к дальнейшему расследованию. Выяснилось, что заражению способствовал вредоносный веб-сайт, маскирующийся под страницу многопользовательской онлайн-игры на основе децентрализованных финансовых технологий. Веб-сайт использовал уязвимость нулевого дня в веб-браузере Google Chrome, предоставляющую злоумышленникам полный контроль над ПК жертвы.

Компания Kaspersky уведомила Google об уязвимости в соответствии с практикой ответственного раскрытия информации, что позволило выпустить исправление. Впоследствии Google предприняла шаги по блокировке вредоносного веб-сайта и связанных с ним сайтов для предотвращения дальнейшего использования. Однако сообщение в блоге Microsoft частично раскрыло информацию о кампании, указывая на то, что Microsoft также отслеживала инцидент.

Злоумышленники использовали сложный подход, включающий использование уязвимостей в компиляторе Google Chrome версии 8 и обход песочницы версии 8 для удаленного выполнения кода. Воспользовавшись уязвимостью в компиляторе Maglev (CVE-2024-4947), злоумышленники смогли считывать и записывать данные из памяти движка JavaScript, в конечном итоге получив полный доступ к системе.

Злоумышленники использовали тактику социальной инженерии, включая разработку поддельной компьютерной игры, чтобы заманить жертв на загрузку вредоносного ПО. Игра под названием DeTankZone была разработана для отвлечения внимания пользователей, в то время как реальной целью было заражение их систем. Аналитики Kaspersky провели реинжиниринг игры и обнаружили, что исходный код был украден из легальной игры DeFiTankLand. Злоумышленники модифицировали украденный исходный код, создав ложную версию для своей вредоносной кампании.

Компания Lazarus APT уже давно нацелена на криптовалютную индустрию с целью получения финансовой выгоды и известна развитием своей тактики, включая использование генеративного искусственного интеллекта в публикациях в социальных сетях и фишинговых кампаниях. Их атаки опасны из-за частого использования эксплойтов нулевого дня, позволяющих проводить сложные атаки с использованием, казалось бы, безобидных ссылок или электронных писем.

#ParsedReport #CompletenessLow
23-10-2024

Malicious npm Packages Steal Ethereum Keys and Gain SSH Access

https://www.secureblink.com/cyber-security-news/malicious-npm-packages-steal-ethereum-keys-and-gain-ssh-access

Report completeness: Low

Threats:
Typosquatting_technique

Industry:
Financial

Geo:
China

ChatGPT TTPs:
do not use without manual check
T1001, T1078.003, T1557.001, T1003

IOCs:
File: 1
Domain: 1
IP: 1
Url: 7

Crypto:
ethereum

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что сообщество разработчиков Ethereum недавно подверглось двум отдельным атакам с использованием вредоносных пакетов npm, направленных на кражу закрытых ключей и компрометацию систем разработчиков. Атаки осуществлялись под видом популярных библиотек Ethereum, при этом одна из них вводила вредоносный код для утечки закрытых ключей и получения несанкционированного доступа по SSH к компьютерам разработчиков, а другая использовала тайпосквоттинг для создания поддельных пакетов для кражи закрытых ключей. Атаки создают риск немедленных финансовых потерь и компрометации блокчейн-активов, что подчеркивает важность таких мер безопасности, как регулярные проверки, соблюдение принципа наименьших привилегий и своевременные обновления и исправления. Разработчикам также рекомендуется сообщать о подозрительных пакетах и получать информацию о рекомендациях по безопасности.
-----

Сообщество разработчиков Ethereum недавно подверглось атакам злоумышленников в результате двух отдельных атак с использованием вредоносных пакетов npm. Эти атаки направлены на выдачу себя за популярные библиотеки Ethereum с целью кражи закрытых ключей и компрометации систем разработчиков. Первая атака была связана с выдачей себя за библиотеку ethers, которая широко используется для взаимодействия с блокчейном Ethereum. Вредоносный код был вставлен в эти поддельные пакеты для утечки закрытых ключей и получения несанкционированного SSH-доступа к компьютерам разработчиков.

Вредоносные пакеты, маскирующиеся под библиотеку ethers, содержали код, предназначенный для извлечения закрытых ключей Ethereum, когда разработчик создавал новый кошелек, используя библиотеку. Эти извлеченные закрытые ключи были отправлены на удаленный сервер, контролируемый злоумышленником. Кроме того, вредоносная программа попыталась добавить открытый SSH-ключ злоумышленника в файл authorized_keys пользователя root, потенциально предоставив злоумышленнику удаленный SSH-доступ. Вредоносный код был замаскирован и распределен по нескольким файлам и модулям, чтобы избежать обнаружения.

В ходе отдельной атаки злоумышленник атаковал криптографический пакет ethereum с помощью тайпсквоттинга, создав поддельные пакеты с именами, похожими на имена легитимной библиотеки. Целью этой атаки было украсть закрытые ключи, отправив их на сервер в Китае. Вредоносные пакеты сохраняли все допустимые функциональные возможности, чтобы избежать подозрений, и единственным дополнением был код для извлечения закрытых ключей. Злоумышленник попытался скрыть вредоносный код в более поздних версиях, хотя и непрофессиональным способом.

Обе атаки преследовали общую цель - украсть приватные ключи Ethereum, что может привести к немедленным финансовым потерям и компрометации активов блокчейна. В ходе первой атаки также была предпринята попытка получить SSH-доступ к компьютерам разработчиков, что потенциально позволило злоумышленнику выполнять произвольные команды и получать доступ к конфиденциальным данным.

Регулярные проверки системных файлов, соблюдение принципа наименьших привилегий и своевременные обновления и исправления для систем и приложений являются важными мерами безопасности. Разработчикам рекомендуется сообщать о любых подозрительных пакетах, с которыми они сталкиваются, и получать информацию о рекомендациях по безопасности и отчетах из авторитетных источников в сообществе разработчиков.

#ParsedReport #CompletenessMedium
23-10-2024

DarkComet RAT: Technical Analysis of Attack Chain

https://any.run/cybersecurity-blog/darkcomet-rat-technical-analysis

Report completeness: Medium

Actors/Campaigns:
Darkcodersc

Threats:
Darkcomet_rat
Ngrok_tool

TTPs:
Tactics: 5
Technics: 11

IOCs:
File: 4
Path: 2
Hash: 3
Domain: 1

Soft:
Windows security, Windows Explorer, WinLogon, Linux

Algorithms:
sha256, sha1, md5

Functions:
GetSIN, GetDrives, GetSrchDrives, GetFileAttrib, GetAppList, GetServList, RemoveServices, GetStartUpList, GetOfflineLogs, GetFullInfo, have more...

Win API:
LookupPrivilegeValueA, AdjustTokenPrivileges, GetCurrentHwProfileA, mouse_event, keybd_event, EnumDisplayDevicesA, GetSystemInfo

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - это отчет об анализе вредоносного ПО, в котором основное внимание уделяется троянцу удаленного доступа (RAT) DarkComet, с подробным описанием его функциональных возможностей, методов обхода, механизмов сохранения, связи с сервером управления и контроля и способности получать и выполнять удаленные команды. В отчете также упоминается полезность ANY.RUN, интерактивной платформы sandbox, для анализа вредоносных угроз и расширения возможностей анализа угроз для специалистов по кибербезопасности.
-----

Статья представляет собой отчет об анализе вредоносных программ, автором которого является Мостафа Эльшейми, специалист по реинжинирингу вредоносных программ и аналитику по анализу угроз, и в котором основное внимание уделяется трояну удаленного доступа (RAT) DarkComet. DarkComet, первоначально разработанный Жан-Пьером Лесюером в 2008 году, работает как скрытая вредоносная программа, которая позволяет злоумышленникам удаленно управлять системами, красть конфиденциальные данные и выполнять вредоносные действия. Вредоносная программа приобрела популярность благодаря своему удобному графическому интерфейсу, что привело к широкому использованию в кибератаках.

DarkComet использует различные методы, чтобы избежать обнаружения и сохранить контроль над зараженными системами. Он использует операции командной строки для изменения атрибутов файлов, что затрудняет обнаружение его компонентов. Вредоносная программа устанавливает связь с вредоносным доменом для удаленного управления и утечки данных. Он взаимодействует с API-интерфейсами Windows для изменения привилегий процессов, сбора информации об оборудовании и проверки системных настроек.

Одна ключевая функция, называемая sub_4735E8, позволяет DarkComet выполнять итерацию по внутренним данным, известным как DARKCOMET DATA, для извлечения определенных атрибутов, таких как домен C2, SID и значения мьютекса. Эта функция помогает скрыть ключевую информацию и гарантировать, что в системе одновременно будет запущен только один экземпляр вредоносной программы. Поместив файл с именем msdcsc.exe в определенный каталог и запустив его оттуда, DarkComet может избежать обнаружения средствами безопасности.

Чтобы поддерживать работоспособность в зараженных системах, DarkComet извлекает дескрипторы модулей для дальнейших манипуляций и функции для имитации пользовательского ввода, сбора данных и взаимодействия с дисплеем и буфером обмена. Он использует функции mouse_event и keybd_event для имитации действий мыши и клавиатуры, перехвата нажатий клавиш и манипулирования пользовательским вводом. Вредоносная программа может определять типы клавиатуры, перехватывать нажатия клавиш и получать доступ к данным на дисплее и в буфере обмена для извлечения или манипулирования.

DarkComet получает инструкции от своего сервера управления (C2) для выполнения удаленных задач, включая развертывание дополнительных вредоносных программ в зараженной системе. Возможности вредоносного ПО, включая изменение системных настроек, имитацию ввода и получение команд с сервера C2, делают его универсальным инструментом для злоумышленников при проведении целенаправленных кибератак.

В статье также рассказывается о пользе ANY.RUN - интерактивной платформы-песочницы, которая помогает специалистам по кибербезопасности анализировать вредоносные программы, нацеленные как на Windows, так и на Linux. Платформа упрощает анализ вредоносных программ, помогает быстро обнаруживать угрозы и предоставляет инструменты для изучения поведения вредоносных программ в режиме реального времени. В статье содержится призыв к специалистам по кибербезопасности использовать такие ресурсы для расширения своих возможностей в области анализа угроз и эффективного реагирования на инциденты.

#ParsedReport #CompletenessMedium
23-10-2024

ICS Threats: Malware Targeting OT? It s More Common Than You Think

https://www.forescout.com/blog/targeting-ot-security-ics-threats-malware

Report completeness: Medium

Threats:
Aisuru
Kaiten
Bashlite
Mirai
Industoyer2
Stuxnet
Havex_rat
Triton
Incontroller_tool
Cosmicenergy
Fuxnet
Frostygoop
Acidrain
Vpnfilter
Snake_ransomware
Findzip

Victims:
Ics, Iot devices, Modicon plcs, Steam gaming service

Industry:
Ics, Energy, Entertainment, Iot, Critical_infrastructure

Geo:
Italy, Japan, India

ChatGPT TTPs:
do not use without manual check
T1613, T1562.001, T1496

IOCs:
Hash: 47
Url: 29
IP: 16

Soft:
Twitter, Steam

Languages:
python, rust

Platforms:
x64, arm, x86

Links:
https://gist.github.com/zenware/ad80d30217cb523737b94c8e685ae85d

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в растущей угрозе вредоносных программ, нацеленных на операционные технологии (OT) и промышленные системы управления (ICS), с акцентом на увеличение активности ботнетов, нацеленных на устройства OT, использование учетных данных по умолчанию и повышенный риск для систем OT от случайных атак. В тексте подчеркивается необходимость того, чтобы организации защищали незащищенные устройства OT и ICS, обновляли учетные данные по умолчанию и отслеживали сети на предмет вредоносной активности для снижения этих рисков. В нем также обсуждается изменение тактики создателей вредоносных программ в сторону ориентации на OT-системы, растущее присутствие вредоносных программ, специфичных для OT, и уязвимости широко используемых устройств, таких как квантовые ПЛК Schneider Electric Modicon.
-----

Развивается вредоносное ПО, нацеленное на операционные технологии (OT) и промышленные системы управления (ICS), при этом кластеры ботнетов, использующие учетные данные по умолчанию, уделяют все большее внимание устройствам OT.

Недавние исследования выявили кластеры ботнетов, осуществляющих атаки на удаление данных в среде OT, что подчеркивает повышенный риск оппортунистических атак на системы OT.

Организациям рекомендуется обезопасить незащищенные устройства OT и ICS, обновить учетные данные по умолчанию и отслеживать сети на предмет вредоносной активности, чтобы снизить риски.

Появление ботнета Mirai в 2016 году привело к росту числа DDoS-ботнетов, заражающих встроенные системы, а также нацеленных на устройства Интернета вещей.

К числу известных вредоносных программ, специфичных для OT, относятся Industroyer2, INCONTROLLER, COSMICENERGY, Fuxnet и FrostyGoop/BUSTLEBERM, а некоторые варианты программ-вымогателей также нацелены на системы, связанные с OT.

Вредоносное ПО, специфичное для OT, часто использует технические протоколы, такие как Modbus, IEC-104 или S7, для взаимодействия с устройствами, с отличительными сигнатурами для идентификации.

Были обнаружены ботнеты, использующие учетные данные по умолчанию в ПЛК, таких как INTEGRATOR и Elsist SlimLine, и устройствах Интернета вещей, таких как IP-камеры и видеорегистраторы.

Были выявлены конкретные кластеры образцов ботнетов, нацеленных на квантовые ПЛК Schneider Electric Modicon, что указывает на уязвимости в широко распространенных устройствах, использующих протокол Modbus.

Инциденты, связанные с атаками вредоносных программ и хакеров на ПЛК Modicon, подчеркивают острую необходимость обеспечения безопасности этих устройств в критически важных инфраструктурных условиях.

#ParsedReport #CompletenessMedium
22-10-2024

Grandoreiro, the global trojan with grandiose ambitions

https://securelist.com/grandoreiro-banking-trojan/114257

Report completeness: Medium

Threats:
Grandoreiro
Dll_sideloading_technique

Victims:
Financial institutions, Banks, Crypto wallets

Industry:
Financial, Government

Geo:
Barbados, Colombia, Belize, Africa, Haiti, Brazil, Australia, Portugal, Honduras, Latin america, Kenya, Spain, Peru, Poland, Venezuela, Mozambique, Switzerland, Mexico, France, Angola, Asia, India, New zealand, Bahamas, Ethiopia, Nigeria, Uruguay, Brazilian, Costa rica, Malta, Spanish, Algeria, Ecuador, Argentina, Philippines, Mexican, Usa, Canada, United kingdom, Tanzania, South africa, Ghana, Belgium, Panama, Chile, Paraguay, Uganda, Dominican republic

ChatGPT TTPs:
do not use without manual check
T1027, T1566, T1057, T1497

IOCs:
File: 80
Path: 1
Hash: 6

Soft:
Windows Installer, Windows Defender, CHROME, FIREFOX, OUTLOOK, OPERA, CHROMIUM, AVASTBROWSER, VeraCrypt, Dropbox, have more...

Algorithms:
xor, aes-256, base64, aes, zip

Win API:
CreateToolhelp32Snapshot, Process32FirstW, Process32NextW, IsDebuggerPresent

Languages:
delphi, jscript

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 3, dump: 1, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Grandoreiro, бразильский банковский троян, управляемый преступной группой, с 2016 года развивает свою тактику для проведения мошеннических банковских операций по всему миру, создавая значительный риск для финансовых учреждений. Несмотря на усилия различных организаций по борьбе с этой угрозой, Grandoreiro продолжает расширять свой охват, нацеливаясь на все большее число финансовых организаций и совершенствуя свои методы уклонения, чтобы избежать обнаружения с помощью систем безопасности. Операторы, стоящие за Grandoreiro, постоянно совершенствуют свои вредоносные программы, и сотрудничество между различными заинтересованными сторонами имеет решающее значение для смягчения последствий этой киберугрозы.
-----

Grandoreiro - это бразильский банковский троян, связанный с Tetrade umbrella и действующий как минимум с 2016 года для проведения мошеннических банковских операций по всему миру.

Несмотря на усилия Интерпола, правоохранительных органов и лаборатории Касперского, Grandoreiro продолжает представлять значительный риск из-за своей постоянно меняющейся тактики и того, что в последние годы удалось лишь частично нарушить ее работу.

Grandoreiro расширяет свой охват, охватывая все большее число финансовых организаций по всему миру: в 2023 году кампании охватят 40 стран и 900 банков, а в 2024 году - 45 стран, охватывая 1700 банков и 276 крипто-кошельков.

Вредоносная программа использует различные тактики распространения, включая фишинговые электронные письма, вредоносную рекламу и вложения на нескольких языках, и эволюционировала, чтобы избежать обнаружения с помощью таких методов, как бинарное заполнение, методы антианализа и дополнительные проверки средствами безопасности.

Троянец усовершенствовал свои методы шифрования с помощью многоуровневых подходов и продвинутых режимов шифрования, таких как кража зашифрованного текста, чтобы усложнить анализ и избежать обнаружения.

В ходе недавних кампаний Grandoreiro внедрила новые тактики уклонения, такие как захват и имитация движений мыши пользователя, чтобы обмануть системы безопасности, основанные на машинном обучении и поведенческой аналитике.

Операторы Grandoreiro постоянно совершенствуют троянскую программу, чтобы она была нацелена на финансовые учреждения по всему миру, что указывает на необходимость совместных усилий правоохранительных органов, компаний, занимающихся кибербезопасностью, и других заинтересованных сторон для смягчения угрозы.

#ParsedReport #CompletenessHigh
23-10-2024

Highlighting TA866/Asylum Ambuscade Activity Since 2021. Who is TA866?

https://blog.talosintelligence.com/highlighting-ta866-asylum-ambuscade

Report completeness: High

Actors/Campaigns:
Asylum_ambuscade (motivation: financially_motivated)
Ta866 (motivation: financially_motivated)
Ta571
Shadowsyndicate

Threats:
Warmcookie
Resident
Ahkbot
Wasabiseed
Cobalt_strike
Streamerrat
Rhadamanthys
Adfind_tool
Anydesk_tool
Teamviewer_tool
Seo_poisoning_technique
Nltest_tool
Icedid
Blackcat
Screenshotter
Looper
Hvnc_tool
Spear-phishing_technique
Dll_sideloading_technique

Industry:
Government

Geo:
Italy, Canada, United kingdom, Austria, Germany, Netherlands, Russian

TTPs:
Tactics: 8
Technics: 23

IOCs:
IP: 41
Command: 1
Path: 2
Url: 113
File: 8
Hash: 451
Domain: 13

Soft:
Microsoft Publisher, AutoHotKey, IrfanView, Internet Explorer, Mozilla Firefox

Languages:
powershell, javascript, python

Links:
https://github.com/Cisco-Talos/IOCs/tree/main/2024/10/

#ParsedReport #GeneratedSchema
Generated with GPT-4