#ParsedReport #CompletenessLow
30-10-2024

Mishing in Motion: Uncovering the Evolving Functionality of FakeCall Malware

https://www.zimperium.com/blog/mishing-in-motion-uncovering-the-evolving-functionality-of-fakecall-malware

Report completeness: Low

Threats:
Fakecall
Qshing_technique

Industry:
Financial

TTPs:
Tactics: 9
Technics: 14

IOCs:
File: 5

Soft:
Android

Functions:
onAccessibilityEvent, onCreate, getResultData, setResultData

Languages:
java

Links:
https://github.com/ant-media/LibRtmp-Client-for-Android
https://github.com/Zimperium/IOC/tree/master/2024-10-FakeCall

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - описание атаки FakeCall Vishing, изощренной формы голосового фишинга, которая нацелена на мобильные устройства путем обмана жертв с целью раскрытия конфиденциальной информации с помощью мошеннических телефонных звонков или голосовых сообщений. Это относится к более широкой категории "фишинга", которая включает в себя различные методы фишинга, нацеленные на мобильные устройства. Атака включает установку вредоносного ПО на устройства Android, что приводит к получению контроля над устройством, перехвату звонков и принуждению пользователей набирать поддельные номера, контролируемые злоумышленником. Недавно обнаруженные варианты FakeCall сильно запутаны, что затрудняет их обнаружение, и исследовательская группа Zimperium выявила приложения и файлы, связанные с кампанией.
-----

Фишинговая атака FakeCall - это сложная форма голосового фишинга (Vishing), которая нацелена на мобильные устройства. Она включает в себя мошеннические телефонные звонки или голосовые сообщения, чтобы обманом заставить жертв раскрыть конфиденциальную информацию, такую как учетные данные для входа в систему и финансовые данные. Эта атака подпадает под более широкое понятие "фишинг", которое включает в себя различные методы фишинга, нацеленные на мобильные устройства, такие как смайлинг (SMS-фишинг) и квишинг (QR-код-фишинг).

Когда жертвы загружают вредоносное ПО FakeCall на свои Android-устройства с помощью фишинговой атаки, оно устанавливает вредоносную полезную нагрузку, которая взаимодействует с сервером управления (C2). Вредоносная программа получает контроль над устройством, перехватывает звонки и обманом заставляет пользователей набирать мошеннические номера, контролируемые злоумышленником.

Недавно обнаруженные варианты FakeCall сильно запутаны, что затрудняет их обнаружение. Анализ показал, что вредоносная программа произошла от более старой версии под названием com.secure.assistant, при этом некоторые вредоносные функции были перенесены в машинный код. Возможности вредоносной программы включают мониторинг состояния Bluetooth и экрана, получение контроля над пользовательским интерфейсом, перехват вызовов и автоматическое предоставление разрешений.

Вредоносная программа включает в себя компонент, который отслеживает изменения состояния Bluetooth, другой компонент, который отслеживает состояние экрана, и службу, унаследованную от службы специальных возможностей Android, для сбора информации об экране. Она может отслеживать активность дозвона, автоматически предоставлять разрешения и включать удаленное управление злоумышленниками для имитации взаимодействия пользователя с устройством.

Вредоносная программа предлагает пользователям установить ее в качестве обработчика вызовов по умолчанию, что позволяет ей управлять входящими и исходящими вызовами. Она может изменять набранные номера, перехватывать вызовы и перенаправлять их на мошеннические номера, контролируемые злоумышленником. Вредоносная программа отображает поддельный интерфейс, имитирующий законные приложения, для обмана пользователей во время этих взаимодействий.

Исследовательская группа Zimperium выявила 13 приложений и 2 dex-файла, связанных с новой кампанией FakeCall. Пользователи Zimperium Mobile Threat Defense и Runtime Protection SDK защищены от поддельных вызовов и их разновидностей благодаря встроенному в эти решения механизму динамического обнаружения на устройстве.

#ParsedReport #CompletenessLow
30-10-2024

Writing a BugSleep C2 server and detecting its traffic with Snort. Key findings

https://blog.talosintelligence.com/writing-a-bugsleep-c2-server

Report completeness: Low

Threats:
Muddyrot
Netcat_tool
Windbg_tool

ChatGPT TTPs:
do not use without manual check
T1105, T1059, T1027

IOCs:
Hash: 5
IP: 3
File: 2

Functions:
ReadSocket, BugSleep, GetFile, SendSocket

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробный анализ нового инструмента удаленного доступа под названием BugSleep, с акцентом на его пользовательский протокол управления (C2), методы обфускации файлов, ключевые функции, методы коммуникации, возможности обнаружения, моделирование взаимодействий и проблемы при обнаружении специфического командного трафика. Анализ демонстрирует обратное проектирование протокола BugSleep, разработку функционального сервера C2 и определение структуры трафика с помощью таких инструментов, как Snort и Wireshark.
-----

В июне 2024 года исследователи в области безопасности провели анализ нового инструмента удаленного доступа (RAT) под названием "MuddyRot", также известного как "BugSleep". Этот имплантат предоставляет операторам функции обратной оболочки и ввода-вывода файлов (I/O) на конечной точке жертвы через пользовательский протокол управления (C2). Анализ, подробно описанный в сообщении в блоге, направлен на демонстрацию процесса обратного проектирования протокола BugSleep, разработку функционального сервера C2 и идентификацию трафика с помощью Snort.

BugSleep использует уникальный протокол C2 через обычные сокеты TCP и использует различные методы обфускации файлов, чтобы избежать обнаружения. Он предлагает такие возможности, как функциональность обратной оболочки, операции ввода-вывода файлов и сохранение в целевой системе. Анализ фокусируется на конкретном образце для демонстрационных целей.

Протокол C2 состоит из ключевых функций, таких как SendSocket и ReadSocket, которые обрабатывают шифрование полезной нагрузки и взаимодействуют с функциями API отправки и получения. Анализ также выявил критически важные функции, такие как C2Loop и CommandHandler, отвечающие за установление сокетных соединений, отправку маяков и выполнение команд с сервера C2. Имплантат инициирует обмен данными, отправляя сигнал в формате ComputerName/Имя пользователя на сервер C2 с последующей обработкой команд в формате IntegerMsg.

Связь между имплантатом и сервером C2 осуществляется через обычные TCP-сокеты, видимые с помощью прослушивателя Netcat и анализа Wireshark. Расшифровка сообщения beacon продемонстрирована с использованием сценариев на Python. Понимание структуры протокола имеет решающее значение для создания сервера C2, который может эффективно эмулировать разговоры между BugSleep и операторами.

Разработка сервера C2 позволяет моделировать взаимодействие с экземплярами BugSleep, что помогает в проверке возможностей обнаружения. В блоге подчеркивается важность обнаружения сообщения beacon, которое может нарушить связь и изолировать экземпляры BugSleep. Однако реализация правил обнаружения, основанных на статических шаблонах, таких как длина сообщения радиомаяка, может привести к ложным срабатываниям.

В анализе описан процесс обнаружения и перехвата трафика, передаваемого через BugSleep, с особым упором на шаблоны трафика, связанные с портом 443, и конкретные смещения данных. В блоге признается потенциальная возможность изменения протокола в будущих вариантах BugSleep, подчеркивается необходимость постоянного мониторинга и адаптации механизмов обнаружения.

Подробно обсуждаются некоторые команды, реализованные в BugSleep, такие как Ping, PutFile, GetFile и функциональность reverse shell. Сложность выполнения таких команд, как reverse shell, заключается в многократном взаимодействии через сокет, включая запуск процесса и передачу данных между процессами.

Кроме того, анализ затрагивает проблемы, с которыми приходится сталкиваться при обнаружении трафика определенных команд, такие как необходимость в инструментах отладки, таких как модуль трассировки Snort 3. В блоге представлена информация о решении проблем обнаружения и оптимизации вычисления правил для различных типов команд в рамках протокола BugSleep.

#ParsedReport #CompletenessHigh
29-10-2024

Inside the Open Directory of the "You Dun" Threat Group

https://thedfirreport.com/2024/10/28/inside-the-open-directory-of-the-you-dun-threat-group

Report completeness: High

Actors/Campaigns:
You_dun

Threats:
Cobalt_strike
Opendir
Weblogicscan_tool
Vulmap_tool
Viper
Taowu_tool
Ladon_tool
Lockbit
Metasploit_tool
Sliver_c2_tool
Sqlmap_tool
Dirsearch_tool
Browserghost_tool
Efspotato_tool
Juicypotato_tool
Lazagne_tool
Minidump_tool
Safetykatz_tool
Seatbelt_tool
Sessiongopher_tool
Sharpersist_tool
Sharphide_tool
Bloodhound_tool
Sharpshares_tool
Sweetpotato_tool
Frpc_tool
Fscan_tool
Printspoofer_tool

Industry:
Government, Healthcare, Logistic, Telco, Education

Geo:
Iranian, Korea, Chinese, Korean, Thailand, Iran, China, Taiwan

CVEs:
CVE-2020-0796 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 (1903, 1909)
- microsoft windows server 2016 (1903, 1909)

CVE-2021-1675 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.18967)
- microsoft windows 10 1607 (<10.0.14393.4467)
- microsoft windows 10 1809 (<10.0.17763.1999)
- microsoft windows 10 1909 (<10.0.18363.1621)
- microsoft windows 10 2004 (<10.0.19041.1052)
have more...
CVE-2021-25003 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- wptaskforce wpcargo track & trace (<6.9.0)

CVE-2016-0051 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 (-, 1511)
- microsoft windows 7 (*)
- microsoft windows 8.1 (*)
- microsoft windows rt 8.1 (*)
- microsoft windows server 2008 (*, r2)
have more...
CVE-2014-4113 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 7 (-)
- microsoft windows 8 (-)
- microsoft windows 8.1 (-)
- microsoft windows rt (-)
- microsoft windows rt 8.1 (-)
have more...
CVE-2015-1701 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 2003 server (-, r2)
- microsoft windows 7 (-)
- microsoft windows server 2008 (-)
- microsoft windows vista (-)


TTPs:
Tactics: 5
Technics: 8

IOCs:
File: 4
IP: 9
Path: 2
Hash: 178
Url: 4

Soft:
Telegram, Linux, docker, WebLogic, WordPress, Redis, curl, Twitter, WhatsApp

Algorithms:
sha256, md5, sha1, zip

Win API:
CreateThread, SetThreadContext, CreateRemoteThread, RtlCreateUserThread

Languages:
php, python

Platforms:
apple, intel, x86, x64

Links:
https://github.com/cdk-team/CDK
https://github.com/liamg/traitor
https://github.com/rabbitmask/WeblogicScan
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что китайскоязычная хакерская группа, известная как "You Dun", занимается масштабной вредоносной деятельностью, такой как разведка, использование веб-ресурсов, уязвимых серверов, атаки с использованием SQL-инъекций и программы-вымогатели, нацеленные на организации в различных странах. Злоумышленники использовали ряд инструментов и платформ, включая WebLogicScan, Vulmap, Xray, Cobalt Strike, Viper C2 и LockBit, для проведения своих операций, демонстрируя высокий уровень сложности и организационных возможностей. Анализ действий злоумышленника выявил закономерность постоянных и целенаправленных кибератак в разных регионах.
-----

OpenDir, обнаруженный командой DFIR Report Threat Intel, выявил наличие инструментария для создания угроз на китайском языке и подробную историю вредоносных действий. Этот злоумышленник, известный как "You Dun", проводил масштабные операции по сканированию и использованию данных, нацеленные на организации в таких странах, как Южная Корея, Китай, Таиланд, Тайвань и Иран. Для сканирования и использования данных использовались такие инструменты, как WebLogicScan, Vulmap и Xray. Кроме того, злоумышленник использовал платформу Viper C2 framework, Cobalt Strike kit с расширениями TaoWu и Ladon и просочившийся в сеть LockBit 3 builder для создания пользовательских полезных программ-вымогателей.

В ходе анализа были выявлены различные действия злоумышленника, включая разведку, использование веб-ресурсов и уязвимых серверов с использованием таких инструментов, как WebLogicScan, Vulmap и Xray. Атаки с использованием SQL-инъекций проводились с использованием SQLmap, в частности, на веб-сайты, на которых установлено программное обеспечение Zhiyuan OA. Злоумышленник также использовал файлы Cobalt Strike и Viper framework, уделив особое внимание архиву сервера Cobalt Strike team, содержащему расширения TaoWu и Ladon. Расследование показало, что злоумышленник проводил активные операции командования и контроля с 18 января по 10 февраля 2024 года, используя кластер IP-адресов в качестве прокси-серверов.

Дальнейший анализ действий привел к обнаружению связи злоумышленника с группой "You Dun" и их участия в различных вредоносных действиях, выходящих за рамки тестирования на проникновение, включая незаконную продажу данных, DDoS-атаки и операции с программами-вымогателями. Злоумышленник использовал инструменты WebLogicScan, Vulmap и Xray для сканирования уязвимостей, их использования и рекогносцировки, нацеливаясь на серверы в разных странах, уделяя особое внимание Китаю, Южной Корее и Ирану. Примечательно, что злоумышленник использовал различные инструменты и методы, включая платформу Viper C2 framework для действий после использования на скомпрометированных хостах.

Действия злоумышленника распространялись на компрометацию веб-сайтов с использованием SQLmap, использование уязвимостей в экземплярах Zhiyuan OA и развертывание Cobalt Strike с расширениями TaoWu и Ladon для расширенных действий по вторжению. Наличие разработчика программ-вымогателей LockBit и связанные с ними действия указывают на более широкий спектр вредоносных операций, предпринимаемых злоумышленником. Использование Viper C2 для последующей эксплуатации, включая использование Metasploit для выполнения команд и загрузки файлов, подчеркнуло сложный характер операций злоумышленника.

Анализ opendir позволил получить представление об инфраструктуре и инструментах, используемых злоумышленниками, а также об их операционных схемах и методологиях. Связанные с этим действия, включая операции по командованию и контролю, эксплуатации и вымогательству, указывали на наличие высокоорганизованной и стойкой хакерской группы, обладающей возможностями для проведения целенаправленных кибератак в различных географических регионах.

#ParsedReport #CompletenessLow
29-10-2024

New WarmCookie Backdoor Hides in Fake Updates Across France

https://www.secureblink.com/cyber-security-news/new-warm-cookie-backdoor-hides-in-fake-updates-across-france

Report completeness: Low

Threats:
Warmcookie
Socgholish_loader

Geo:
France, French

ChatGPT TTPs:
do not use without manual check
T1204, T1071, T1059, T1082, T1012, T1113, T1105, T1497

IOCs:
Domain: 2

Soft:
Google Chrome, Mozilla Firefox, Microsoft Edge, Windows Registry, Chrome

Languages:
javascript, java, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении и распространении во Франции новой вредоносной программы-бэкдора под названием "WarmCookie", распространяемой хакерской группой SocGolish посредством атак FakeUpdate с использованием поддельных уведомлений об обновлениях браузера. Это сложное вредоносное ПО позволяет злоумышленникам удаленно управлять системами, собирать конфиденциальные данные и выполнять различные операции с расширенными возможностями, чтобы избежать обнаружения, что создает значительный риск для безопасности данных. Исследователи подчеркивают необходимость бдительности и осведомленности о меняющихся тактиках вредоносного ПО для защиты от таких целенаправленных и постоянных угроз.
-----

В тексте содержится подробный обзор новой вредоносной программы, известной как "WarmCookie", которая распространяется во Франции с помощью поддельных обновлений браузера, представляя значительную угрозу безопасности данных. Это вредоносное ПО с бэкдором распространяется хакерской группой SocGolish, использующей стратегию под названием "FakeUpdate", при которой на взломанных веб-сайтах отображаются поддельные уведомления об обновлениях для популярных приложений, таких как Google Chrome, Mozilla Firefox, Microsoft Edge и Java, чтобы обманом заставить пользователей загрузить вредоносное ПО.

Первоначально обнаруженный компанией eSentire, занимающейся кибербезопасностью, в середине 2023 года, WarmCookie представляет собой сложный бэкдор с разнообразными возможностями, предназначенный для систем Windows. Традиционно она распространялась с помощью фишинговых электронных писем, но теперь перешла к атакам с использованием поддельных обновлений, чтобы расширить свой охват. После установки в систему WarmCookie позволяет злоумышленникам удаленно управлять системой, находить и извлекать конфиденциальные данные, собирать подробную системную информацию, выполнять команды, делать скриншоты и внедрять дополнительные вредоносные программы.

Вредоносная программа была дополнена новыми функциями, которые затрудняют ее обнаружение и удаление. Эти обновления включают в себя возможность хранить и запускать библиотеки динамической компоновки (DLL) из временных каталогов, передавать и запускать EXE-файлы и PowerShell для удаленного управления, а также проводить проверки на защиту от виртуальных машин, чтобы избежать обнаружения в виртуализированных средах. Эти усовершенствования демонстрируют эволюционную природу WarmCookie, делая его более устойчивым и опасным при целенаправленных атаках.

Процесс заражения системы WarmCookie заключается в том, что пользователи нажимают на поддельные запросы об обновлении, которые запускают загрузку вредоносного ПО, замаскированного под законный установщик. Затем вредоносная программа выполняет проверку на защиту от виртуальных машин, отправляет системную информацию на сервер управления и ожидает дальнейших инструкций, не предупреждая пользователя о своем присутствии. Такая скрытность и сложность затрудняют пользователям самостоятельное обнаружение и устранение угрозы.

Кампания SocGolish, ориентированная на французских пользователей, укрепляет доверие пользователей к таким популярным брендам, как Chrome и Java, подчеркивая необходимость бдительности отдельных лиц и организаций. Понимание и постоянное информирование об изменяющихся тактиках вредоносных программ, таких как FakeUpdate, имеет решающее значение для защиты от таких угроз, как WarmCookie, которые продолжают развиваться, предоставляя новые возможности для более целенаправленных и постоянных атак в будущем.

#ParsedReport #CompletenessHigh
30-10-2024

CloudScout: Evasive Panda scouting cloud services

https://www.welivesecurity.com/en/eset-research/cloudscout-evasive-panda-scouting-cloud-services

Report completeness: High

Actors/Campaigns:
Daggerfly (motivation: cyber_espionage)

Threats:
Cloudscout_tool
Mgbot
Dns_hijacking_technique
Supply_chain_technique
Watering_hole_technique
Nightdoor
Uac_bypass_technique

Victims:
Government entity, Religious organization

Industry:
Government

Geo:
Myanmar, Korea, Ukraine, Tibetan diaspora, China, In the tibetan, The tibetan, Taiwan, Vietnam, Hong kong, Taiwanese, Tibetan diaspora religious

TTPs:
Tactics: 10
Technics: 18

IOCs:
Path: 9
File: 2
IP: 1
Hash: 16

Soft:
Gmail, Outlook, Microsoft Office, Confluence, macOS, Android, Chrome, Twitter, Firefox, Microsoft Outlook, have more...

Algorithms:
zip, rc4

Links:
https://github.com/icsharpcode/SharpZipLib
https://github.com/WICG/dbsc
https://github.com/eset/malware-ioc/tree/master/evasive\_panda
have more...

#ParsedReport #ExtractedSchema

Classified images:
code: 11, schema: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: исследователи ESET выявили сложный набор инструментов под названием CloudScout, который используется разработчиком киберугроз Evasive Panda для целенаправленных атак на государственные учреждения и организации Тайваня, в первую очередь для кражи данных из облачных сервисов, таких как Google Drive, Gmail и Outlook. Связанная с Китаем группа APT Evasive Panda, известная проведением кампаний кибершпионажа с 2012 года, использует передовые тактики и методы для борьбы с организациями, выступающими против интересов Китая, включая группы тибетской диаспоры, религиозные учреждения и сторонников демократии. Недавние усовершенствования безопасности Google направлены на противодействие таким атакам, как CloudScout, которые используют украденные файлы cookie веб-сессии для получения несанкционированного доступа к данным, хранящимся в облаке.
-----

Исследователи ESET обнаружили новый набор инструментов под названием CloudScout, который используется разработчиком киберугроз Evasive Panda для целенаправленных атак на Тайване.

CloudScout предназначен для извлечения данных из популярных облачных сервисов, таких как Google Drive, Gmail и Outlook, с помощью украденных файлов cookie веб-сессий и интегрируется с платформой вредоносного по MgBot.

CloudScout был специально использован для борьбы с тайваньскими пользователями, используя жестко закодированные поля в веб-запросах для кражи сообщений электронной почты Outlook.

Evasive Panda - это связанная с Китаем группа APT, действующая по меньшей мере с 2012 года, известная тем, что нацелена на организации, выступающие против интересов Китая в различных регионах, таких как Тайвань, Гонконг и Китай, а также в таких странах, как Вьетнам, Мьянма и Южная Корея.

В начале 2023 года Evasive Panda внедрила три новых модуля .NET в правительственной организации на Тайване для доступа к облачным сервисам с использованием украденных файлов cookie в обход таких мер безопасности, как двухфакторная аутентификация и отслеживание IP-адресов.

Google выпустила усовершенствования безопасности для противодействия атакам на основе файлов cookie, таким как CloudScout, включая проект "Учетные данные для сеанса, привязанные к устройству" и функцию шифрования, привязанную к приложению.

Набор инструментов CloudScout состоит из нескольких модулей, предназначенных для различных облачных сервисов, разработанных примерно в 2020 году и использующих общий ключ шифрования и архитектуру для сбора и эксфильтрации данных.

Модули CloudScout имитируют поведение пользователей в скомпрометированных облачных учетных записях, позволяют перемещаться по сервисам, собирать данные и упаковывать их для последующей фильтрации, добавляя при этом метаданные, что позволяет эффективно извлекать конфиденциальную информацию, хранящуюся в облачных сервисах.

#ParsedReport #CompletenessLow
29-10-2024

Heightened risk of online scams and phishing attacks amidst 2024 Diwali celebration

https://www.cloudsek.com/blog/heightened-risk-of-online-scams-and-phishing-attacks-amidst-2024-diwali-celebration

Report completeness: Low

Industry:
E-commerce, Telco, Government, Financial

Geo:
Indian, India

TTPs:
Tactics: 1
Technics: 0

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 4

#ParsedReport #CompletenessLow
30-10-2024

ConfuciusADS. Analysis of Confucius' attack activities using ADS hiding technology

https://www.ctfiot.com/212595.html

Report completeness: Low

Actors/Campaigns:
Apt59

Threats:
Double_kill_vuln
Double_star_vuln
Nightmare_formula_vuln

Industry:
Government

Geo:
Pakistan

ChatGPT TTPs:
do not use without manual check
T1564.004, T1204.002, T1574.002, T1055.001

IOCs:
File: 9
Hash: 4
Registry: 1

Soft:
WeChat

Wallets:
harmony_wallet

Algorithms:
zip, md5

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
schema: 1