#ParsedReport #CompletenessLow
07-11-2024

AsyncRAT s Infection Tactics via Open Directories: Technical Analysis

https://any.run/cybersecurity-blog/asyncrat-open-directories-infection-analysis

Report completeness: Low

Threats:
Asyncrat

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.001, T1059.005, T1059.003, T1071.001, T1055, T1053.005

IOCs:
Path: 1
File: 3
IP: 2
Domain: 2
Hash: 13

Soft:
Linux

Algorithms:
zip

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, code: 18, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ того, как вредоносная программа AsyncRAT, троян для удаленного доступа (RAT), использует инновационную тактику для заражения систем через открытые каталоги, демонстрируя эволюцию стратегий злоумышленников. В статье подробно описываются методы заражения, функциональные возможности и этапы работы вредоносного ПО, а также анализ открытых вредоносных каталогов и информация, предоставляемая средой ANY.RUN sandbox для понимания поведения вредоносного ПО и инфраструктуры управления (C2). Кроме того, это подчеркивает роль ANY.RUN в поддержке специалистов по кибербезопасности во всем мире, предоставляя инструменты для анализа вредоносных программ и анализа угроз для улучшения возможностей обнаружения угроз и реагирования на инциденты.
-----

AsyncRAT - это вредоносная программа для удаленного доступа (RAT), использующая инновационную тактику заражения систем через открытые каталоги и демонстрирующая эволюционирующие стратегии злоумышленников.

AsyncRAT предоставляет злоумышленникам удаленный контроль над скомпрометированными устройствами для шпионажа, утечки данных и манипулирования целевыми системами.

Расследование вредоносных программ open directories выявило скрипт VBS, замаскированный под TXT-файл, и файл JPG, скрывающий сценарий PowerShell для запуска процесса заражения.

Идентифицированный скрипт VBS запускает выполнение PowerShell без запроса, что приводит к появлению сценария PowerShell с именем KiLOvBeRNdautESaatnENn.ps1 в качестве следующего этапа цепочки заражения.

Анализ в среде ANY.RUN sandbox позволил получить представление о выполнении вредоносных программ, структуре управления (C2) и методах сохранения, включая настройку запланированных задач.

ANY.RUN сыграл решающую роль в поддержке специалистов по кибербезопасности во всем мире, предлагая продукты для анализа угроз для анализа индикаторов компрометации (IOCs) и повышения эффективности реагирования на инциденты.

#ParsedReport #CompletenessLow
07-11-2024

Large eBay malvertising campaign leads to scams

https://www.malwarebytes.com/blog/scams/2024/11/large-ebay-malvertising-campaign-leads-to-scams

Report completeness: Low

Industry:
Financial

Geo:
American

ChatGPT TTPs:
do not use without manual check
T1204, T1189

IOCs:
Domain: 5

Soft:
Google Chrome

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в распространении вредоносной рекламы в Интернете, в частности тактики мошенничества с технической поддержкой, когда мошенники обманом заставляют пользователей обращаться за помощью и получают доступ к устройствам или финансовой информации. Несмотря на усилия таких платформ, как Google, по обеспечению соблюдения правил рекламы, мошенники находят способы обмануть пользователей, используя такие известные бренды, как eBay. В тексте подчеркивается важность сообщения о вредоносной рекламе и использования средств безопасности, таких как Malwarebytes Browser Guard, для защиты от этих угроз.
-----

В тексте описывается сценарий, при котором вредоносная реклама отображается в Интернете, вовлекая пользователей в мошенничество. Эти объявления могут выглядеть достаточно правдоподобно, чтобы заставить ничего не подозревающих пользователей перейти по ним, что приведет их на поддельные веб-сайты, которые предложат им обратиться за помощью. Эти мошеннические действия совершаются преступниками, которые используют известные торговые марки, такие как eBay, чтобы завоевать доверие и вовлечь жертв в свои схемы. Несмотря на строгие правила Google в отношении рекламного контента, мошенники находят способы обойти эти правила и эксплуатировать пользователей. Основной используемой тактикой является "мошенничество с технической поддержкой", когда мошенники, обычно действующие из зарубежных колл-центров, пытаются получить доступ к устройствам жертв или финансовой информации, чтобы украсть деньги. В ответ на эти угрозы предпринимаются усилия по отправке сообщений о вредоносной рекламе на платформы, подобные Google, и отслеживанию аналогичных кампаний, нацеленных на другие бренды. В тексте также рекомендуется использовать средства безопасности, такие как Malwarebytes Browser Guard, для защиты от подобных угроз путем блокирования рекламы и обнаружения фишинговых сайтов.

#ParsedReport #CompletenessMedium
08-11-2024

QSC: A multi-plugin framework used by CloudComputating group in cyberespionage campaigns

https://securelist.com/cloudcomputating-qsc-framework/114438

Report completeness: Medium

Actors/Campaigns:
Cloudcomputating (motivation: cyber_espionage)

Threats:
Qsc_tool
Torpig
Turian
Netstat_tool
Vmprotect_tool
Tailorscan_tool
Stowproxy_tool
Procdump_tool

Industry:
Telco

Geo:
Asia, Middle east

ChatGPT TTPs:
do not use without manual check
T1105, T1071.001, T1573.002, T1027, T1553.002, T1036.004, T1569.002, T1584.001

IOCs:
Command: 4
IP: 3
Hash: 27
Path: 35
File: 2
Domain: 8

Algorithms:
md5, base64, rc4, xor

Functions:
setConfig, getNetWork

Win API:
decompress, CreateProcess

Languages:
golang

Platforms:
x64, apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте рассказывается об обнаружении вредоносной платформы QSC, использовавшейся при атаках на телекоммуникационную отрасль Южной Азии в 2021 году, и о более поздних случаях ее развертывания в Западной Азии. В нем подробно описываются различные модули платформы, ее развертывание вместе с другими вредоносными программами, такими как Quarian и GoClient, бэкдорами хакерской группы CloudComputating, их тактика и последствия использования модульных платформ, таких как QSC, в кибероперациях.
-----

Расследование атаки на телекоммуникационную отрасль в Южной Азии в 2021 году выявило наличие вредоносной платформы QSC, состоящей из нескольких плагинов, которая запускает плагины в памяти. Платформа состоит из загрузчика, основного модуля, сетевого модуля, модуля командной оболочки и модуля файлового менеджера. QSC может быть удален как отдельный исполняемый файл или как файл полезной нагрузки вместе с DLL-библиотекой загрузчика. Основной модуль QSC поддерживает различные команды C2 и отвечает за внедрение модуля файлового менеджера, который позволяет считывать и записывать файлы в системе. Модуль файлового менеджера также поддерживает команды C2, связанные с обработкой файлов.

В октябре 2023 года было обнаружено несколько экземпляров файлов QSC, предназначенных для интернет-провайдера в Западной Азии. Было обнаружено, что бэкдор Quarian версии 3 (Turian) заражал целевые компьютеры с 2022 года, и те же злоумышленники развернули платформу QSC 10 октября 2023 года. 17 октября 2023 года, наряду с QSC framework, был запущен новый бэкдор под названием "GoClient", написанный на Golang. Оба этих вредоносных инструмента были внедрены хакерской группой CloudComputating.

Бэкдор Quarian использовался для облегчения развертывания платформы QSC и бэкдора GoClient. Посредством связи с сервером C2 бэкдор GoClient обменивался ключами вызова, собирал системную информацию и получал команды для выполнения на компьютере жертвы. Бэкдор взаимодействовал с сервером C2 по протоколу TLS и использовал шифрование RC4 для защиты сообщений.

Злоумышленники использовали WMIC и украденные учетные данные администратора домена для запуска платформы QSC на других компьютерах в сети. Были обнаружены случаи, когда платформа QSC была удаленно развернута на целевых компьютерах с использованием WMIC. Некоторые экземпляры образцов платформы QSC framework были настроены на использование локальных или внутренних IP-адресов для связи C2, что, возможно, указывает на ограниченный доступ в Интернет или решения хакера о перенаправлении трафика.

Данные телеметрии и артефакты помогли отнести платформу QSC и связанные с ней виды деятельности к группе облачных вычислений, что свидетельствует об изменении их тактики в сторону использования модульных платформ, таких как QSC. Это стратегическое изменение указывает на акцент на телекоммуникационном секторе и подчеркивает адаптивность группы. В ходе расследования была подчеркнута важность постоянного мониторинга деятельности группы в связи с ее постоянно меняющимся инструментарием и тактикой. Внедрение платформы QSC группой облачных вычислений сигнализирует о новом этапе их вредоносных операций, демонстрируя усовершенствованную способность поддерживать доступ к скомпрометированным сетям с помощью модульных и резидентных в памяти вредоносных компонентов.

#ParsedReport #CompletenessMedium
08-11-2024

Lynx on the Prowl: Targeting SMBs with Double-Extortion Tactics

https://blogs.blackberry.com/en/2024/10/lynx-ransomware

Report completeness: Medium

Actors/Campaigns:
Inc_ransomware

Threats:
Lynx
Inc_ransomware

Industry:
Education, Healthcare, Government

Geo:
America, Canada

ChatGPT TTPs:
do not use without manual check
T1486, T1048, T1078

IOCs:
Domain: 17
File: 3
Path: 1
Hash: 4

Soft:
BinDiff, Visual Studio, Microsoft Print to PDF

Algorithms:
sha512, ecdh, curve25519, base64, aes-128, aes, md5, curve25519-donna, sha256

Win API:
pie, CryptStringToBinaryA

Win Services:
bits

Languages:
java

Platforms:
x86

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в растущем влиянии банд программ-вымогателей на ситуацию с киберугрозами, при этом основное внимание уделяется двум конкретным группам, Lynx и INC Ransom, а также их тактике, целям и сходствам в операциях. В нем также подчеркиваются значительные финансовые последствия атак программ-вымогателей, эволюция стратегий, используемых киберпреступниками, а также важность сотрудничества и обмена информацией для защиты от угроз программ-вымогателей.
-----

В последние годы банды программ-вымогателей значительно повлияли на ситуацию с киберугрозами, проявляя все большую агрессивность, несмотря на усилия правоохранительных органов. В 2023 году жертвы выплатили более 1 миллиарда долларов выкупа, что свидетельствует о продолжающемся успехе этих групп злоумышленников. Появление в 2024 году новых банд киберпреступников, таких как группа "Lynx", усугубило ситуацию с угрозами. Компания Lynx, ориентированная на малый и средний бизнес в основном в Северной Америке и Европе, утверждает, что действует этично, избегая больниц, правительственных организаций и некоммерческих организаций.

В результате расследования, проведенного командой BlackBerry Threat Research and Intelligence Team, было обнаружено, что Lynx и другая группа программ-вымогателей под названием "INC Ransom" имеют значительное сходство в своих действиях. Обе группы используют стратегию двойного вымогательства, извлекая конфиденциальные данные перед их шифрованием и угрожая раскрыть их, если выкуп не будет выплачен. Кроме того, обе группы используют практически идентичную структуру статического кода и используют один и тот же адрес электронной почты в своей деятельности.

Lynx использует свой собственный шифровальщик файлов, разработанный с использованием кодовой базы, аналогичной INC Ransom. Программа-вымогатель шифрует файлы с помощью AES-128 в режиме CTR и генерирует общий "секрет", используя алгоритм Curve25519-donna. Lynx исключает из системы шифрования определенные типы файлов и папки Windows, чтобы предотвратить недоступность устройства. Шифровальщик добавляет расширение ".LYNX" к зашифрованным файлам, обеспечивая успешное шифрование и предотвращая двойное шифрование.

INC Ransom, известная в 2024 году группа программ-вымогателей, работает как программа-вымогатель как услуга (RaaS) и активно атакует различные секторы, включая здравоохранение, образование и государственные учреждения. Примечательно, что сообщения третьих лиц предполагают, что исходный код INC Ransom, возможно, был продан на форуме киберпреступников, что привело к предположениям о потенциальных разногласиях внутри группы.

Как Lynx, так и INC Ransom используют один и тот же метод хранения сообщений о требовании выкупа в своих шифровальщиках, используя большой двоичный объект в кодировке Base-64, который запускает фоновые изменения на рабочем столе и генерирует файл "README.txt". Lynx поддерживает сайты утечек как в surface web, так и в dark web, вероятно, для оперативной избыточности. Группа обязуется избегать нападений на службы экстренной помощи и некоммерческие организации, в отличие от INC Ransom, которая, как известно, нацелена на такие организации.

Атаки программ-вымогателей по-прежнему представляют серьезную угрозу, поскольку киберпреступники используют уязвимости в программных системах и проводят оппортунистические атаки. Такие группы, как Lynx, зарабатывают деньги, нанося ущерб и стресс своим жертвам. Сотрудничество и обмен информацией между подразделениями кибербезопасности имеют решающее значение для борьбы с угрозами вымогательства и защиты организаций от потенциальных атак.

#ParsedReport #CompletenessMedium
08-11-2024

Threat Campaign Spreads Winos4.0 Through Game Application

https://www.fortinet.com/blog/threat-research/threat-campaign-spreads-winos4-through-game-application

Report completeness: Medium

Actors/Campaigns:
Silver_fox

Threats:
Winos
Gh0st_rat
Cobalt_strike
Sliver_c2_tool

Industry:
Entertainment, Education

ChatGPT TTPs:
do not use without manual check
T1105, T1071, T1132

IOCs:
File: 66
Domain: 1
Url: 7
IP: 1
Registry: 3
Hash: 22

Soft:
Chrome

Wallets:
metamask

Algorithms:
xor, base64, zip

Win API:
ShellExecuteA

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 16, table: 1, dump: 5, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Winos4.0 - это сложный и мощный вредоносный фреймворк, который активно используется в кампаниях по компрометации систем, извлечению конфиденциальной информации и установлению контроля над скомпрометированными конечными точками. Вредоносная программа выполняет различные действия, взаимодействует с сервером управления и защиты и использует механизмы шифрования для обеспечения сохранности и контроля. Пользователям рекомендуется соблюдать осторожность при загрузке приложений, чтобы снизить риски, связанные с заражением вредоносными программами и киберугрозами. Понимание тактики, применяемой хакерами, использующими Winos4.0, имеет решающее значение для усиления мер кибербезопасности и предотвращения компрометации.
-----

Winos4.0 - это сложный вредоносный фреймворк, созданный на основе Gh0strat, который отличается надежной архитектурой и широким контролем над многочисленными онлайн-конечными точками для выполнения различных действий. Это вредоносное ПО было обнаружено в таких кампаниях, как Silver Fox, а образцы были найдены в приложениях, связанных с играми, таких как инструменты установки и утилиты оптимизации. Анализ расшифрованного файла DLL показывает потенциальную ориентацию на сектор образования, о чем свидетельствуют такие описания файлов, как "Администрация кампуса" и "Система регистрации студентов"..

В ходе недавней кампании вредоносная программа извлекла "t3d.tmp", используя пароль "lalala123%", для получения чистых файлов u72kOdQ.exe , MSVCP140.dll , и VCRUNTIME140.dll . Затем он расшифровывает "t4d.tmp", используя ключ XOR 0x67080000, чтобы выявить основной вредоносный файл "libcef.dll", который отвечает за внедрение шелл-кода в скомпрометированную среду. Извлеченный шеллкод динамически загружает API и извлекает данные конфигурации, устанавливая соединение с сервером C2 по IP-адресу 202.79.173.4 и порту 80 по протоколу TCP.

Вредоносная программа отправляет определенный сигнал на сервер C2 для загрузки модуля, включающего зашифрованные компоненты данных, которые позволяют выполнять различные функции, такие как вход в систему, регистрация на сервере и получение команд. Кроме того, Winos4.0 включает модуль, ориентированный на сбор информации, проверку среды и основные операции с бэкдорами. Этот модуль проверяет наличие антивирусных процессов и обрабатывает взаимодействие с сервером C2 для отправки и получения данных, обеспечивая постоянное подключение.

В ходе проанализированной кампании атаки с сервера C2 были извлечены дополнительные плагины, хранящиеся в реестре под определенными ключами. Эти плагины предназначены для создания скриншотов и управления документами, позволяя хакеру собирать конфиденциальную информацию и незаметно отслеживать действия в скомпрометированной системе. Возможности Winos4.0 сопоставимы с возможностями других мощных платформ, таких как Cobalt Strike и Sliver, что позволяет хакерам устанавливать глубокий контроль над скомпрометированными системами.

Цепочка атак включает в себя сложные механизмы шифрования и обширную коммуникацию C2 для успешного внедрения и поддержания контроля над уязвимой средой. Пользователям рекомендуется проявлять осторожность при загрузке приложений, особенно из непроверенных источников, чтобы снизить риски, связанные с заражением вредоносными программами и киберугрозами. Понимание тактики, применяемой хакерами, использующими Winos4.0, может помочь усилить меры кибербезопасности и предотвратить потенциальные компромиссы.

#ParsedReport #CompletenessLow
09-11-2024

Hello again, FakeBat: popular loader returns after months-long hiatus

https://www.malwarebytes.com/blog/cybercrime/2024/11/hello-again-fakebat-popular-loader-returns-after-months-long-hiatus

Report completeness: Low

Threats:
Fakebat
Lumma_stealer
Cloaking_technique
Amsiscanbufferbypass_tool
Amsi_bypass_technique
Process_hollowing_technique
Paykpe

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1562.001, T1055.012, T1071.001

IOCs:
Domain: 13
File: 2
Hash: 4

Soft:
NET Reactor

Algorithms:
aes

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в возрождении вредоносного загрузчика FakeBat, чему способствует вредоносная реклама Google, рекламирующая приложение Notion productivity. Это возрождение свидетельствует о возвращении хакеров к традиционным методам, использовании ими методов обфускации и устоявшихся инструментов, таких как RastaMouse, а также об успешном внедрении программы LummaC2 stealer. Этот инцидент подчеркивает проблемы, связанные с имитацией бренда и вредоносными атаками, направленными на рекламу, и подчеркивает важность сотрудничества в рамках сообщества кибербезопасности для противодействия развивающимся киберугрозам.
-----

Возрождение вредоносного загрузчика FakeBat было замечено благодаря вредоносной рекламе Google, рекламирующей концепцию приложения для повышения производительности, что знаменует собой возврат хакеров к традиционным методам работы. Этот уникальный загрузчик, также известный как Eugenloader или PaykLoader, ранее использовался для развертывания дополнительных полезных приложений, таких как Lumma stealer. Инцидент, который повторился после нескольких месяцев бездействия с момента его последнего появления в июле 2024 года из-за вредоносной рекламы для Calendly, был связан с инфраструктурой управления, созданной в домене utd-gochisu.com.

После анализа сетевого трафика от рекламного URL до полезной нагрузки была выявлена цепочка перенаправлений, начинающаяся со ссылки на шаблон отслеживания (smart.link), проходящая через домен-маскировку (solomonegbe.com) и, наконец, попадающая на сайт-приманку (notion.ramchhaya.com). Первоначальное заражение было связано с выполнением скриптов FakeBat PowerShell, которые были тщательно разработаны, чтобы обойти механизмы обнаружения в изолированной среде. Кроме того, хакеры продолжали использовать известный скрипт обхода AMSI под названием RastaMouse, что подчеркивает их настойчивость в использовании известных инструментов и методов.

Загрузчик использовал методы обфускации с использованием .NET Reactor для расшифровки встроенных ресурсов с помощью AES-шифрования и приступил к вводу полезной нагрузки в MSBuild.exe с помощью метода удаления процесса. Расшифрованная полезная нагрузка была идентифицирована как программа-похититель LummaC2, привязанная к определенному идентификатору пользователя: 9zXsP2. Несмотря на недавнее снижение числа атак вредоносных программ, основанных на вредоносной рекламе, это событие служит ярким напоминанием о способности хакеров адаптироваться и возобновлять кампании при возникновении благоприятных обстоятельств.

Этот инцидент подчеркивает сохраняющуюся проблему олицетворения бренда с помощью таких каналов, как Google ads, что позволяет хакерам использовать законные платформы для обмана пользователей и загрузки вредоносного контента. Быстрый анализ, проведенный исследователями в области безопасности, такими как RussianPanda и Sqiiblydoo, сыграл решающую роль в выявлении вредоносных действий, связанных с возобновлением загрузки FakeBat, и в сообщении о них. Это служит свидетельством совместных усилий сообщества кибербезопасности по борьбе с появляющимися киберугрозами и защите пользователей от того, чтобы стать жертвами подобных вредоносных кампаний.

#ParsedReport #CompletenessLow
08-11-2024

Dark Web Profile: CosmicBeetle (NoName) Ransomware

https://socradar.io/dark-web-profile-cosmicbeetle-noname-ransomware

Report completeness: Low

Actors/Campaigns:
Cosmicbeetle (motivation: information_theft, hacktivism)
Noname057 (motivation: hacktivism)

Threats:
Noname_ransomware
Scransom
Lockbit
Eternalblue_vuln
Zerologon_vuln
Spacecolon
Scara
Ransomhub
Nopac_vuln
Scarab
Qtox

Victims:
Small to medium enterprises, Regional government bodies

Industry:
Education, Government, Healthcare, Critical_infrastructure

Geo:
Asia, Turkish

CVEs:
CVE-2023-27532 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- veeam veeam backup & replication (11.0.1.1261, 12.0.0.1420)

CVE-2017-0144 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft server message block (1.0)

CVE-2022-42475 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortios (le5.0.14, le5.2.15, le5.4.13, le5.6.14, <6.0.16)

CVE-2020-1472 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 1903 (*)
- microsoft windows server 1909 (*)
- microsoft windows server 2004 (-)
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (-, r2)
have more...
CVE-2021-42278 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2004 (<10.0.19041.1348)
- microsoft windows server 2008 (-, r2)
- microsoft windows server 2012 (-, r2)
- microsoft windows server 2016 (<10.0.14393.4770)
- microsoft windows server 2019 (<10.0.17763.2300)
have more...
CVE-2021-42287 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (-, r2)
- microsoft windows server 2012 (-, r2)
- microsoft windows server 2016 (<10.0.14393.4770, 2004)
- microsoft windows server 2019 (<10.0.17763.2300)
- microsoft windows server 2022 (<10.0.20348.350)
have more...

TTPs:
Tactics: 8
Technics: 18

IOCs:
Domain: 1

Soft:
Active Directory

Languages:
delphi, powershell, swift