#ParsedReport #CompletenessLow
10-11-2024

Malware Steals Account Credentials

https://blog.sucuri.net/2024/11/malware-steals-account-credentials.html

Report completeness: Low

Industry:
E-commerce

ChatGPT TTPs:
do not use without manual check
T1059, T1001, T1056, T1078

Soft:
LastPass, CPanel, Linux

Algorithms:
base64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте рассказывается о том, как вредоносные программы атакуют сайты электронной коммерции с целью кражи данных кредитных карт, а злоумышленники выходят за рамки кражи данных учетной записи клиента и учетных данных администратора. Рассматривается инцидент, связанный с сильно запутанным вредоносным ПО, адаптированным для конкретного сайта электронной коммерции, демонстрирующий использование имен случайных величин и функций в шестнадцатеричном коде для обфускации. Вредоносный скрипт был нацелен на извлечение данных из форм оформления заказа и был связан с доменом, известным своей вредоносной программой. Целью злоумышленников было получить данные для входа в систему администратора, что позволило бы им манипулировать сайтом и использовать его в дальнейшем. В тексте также кратко упоминается Мэтт, аналитик по кибербезопасности, и его роль в Sucuri.
-----

Сайты электронной коммерции часто становятся мишенью вредоносных программ, которые пытаются украсть данные кредитной карты, используя скрипты для извлечения данных из форм оформления заказа. Злоумышленники используют такие поля, как имя владельца карты, номер карты и срок ее действия, для незаконных целей, таких как продажа на черном рынке. Однако в некоторых случаях злоумышленники используют не только данные кредитной карты, но и крадут данные учетной записи клиента и учетные данные администратора. Был зафиксирован такой случай, когда вредоносное ПО с сильно запутанным программным обеспечением было разработано специально для целевого сайта электронной коммерции.

Вредоносный скрипт использовал переменные с произвольными именами и шестнадцатеричные имена функций для обфускации. В конце скрипта присутствовала функция для перебора значений массива форм. Скрипт был связан с доменом, известным своей вредоносной программой, размещенной рядом с доменами, связанными с учетной записью клиента и кражей кредитных карт. Примечательно, что это вредоносное ПО было разработано специально для внедренного сайта и выполняло поиск определенных переменных в форме входа. Как только злоумышленники получали данные для входа в систему администратора, они могли манипулировать дизайном сайта, устанавливать вредоносные модули или изменять настройки платежного шлюза для дальнейшего использования.

Мэтт, аналитик по кибербезопасности в Sucuri с 2018 года, обладает обширным опытом работы с серверами Linux и Windows. Его роль заключается в выявлении и удалении вредоносных программ для веб-сайтов и отслеживании новых тенденций в области вредоносных атак. Помимо работы, Мэтт занимается созданием музыки или ухаживает за своим садом.

#ParsedReport #CompletenessHigh
09-11-2024

Mozi Resurfaces as Androxgh0st Botnet: Unraveling The Latest Exploitation Wave

https://www.cloudsek.com/blog/mozi-resurfaces-as-androxgh0st-botnet-unraveling-the-latest-exploitation-wave

Report completeness: High

Threats:
Mozi
Androxgh0st
Webadmin_tool
Netstat_tool

Industry:
Iot

Geo:
Jamaica, China, Chinese, Albania, India

CVEs:
CVE-2018-15133 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- laravel (le5.5.40, le5.6.29)

CVE-2014-2120 [Vulners]
CVSS V3.1: 4.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco adaptive security appliance software (-)

CVE-2021-41773 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache http server (2.4.49)

CVE-2021-41277 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- metabase (0.40.0, 0.40.1, 0.40.2, 0.40.3, 0.40.4)

CVE-2018-10562 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dasannetworks gpon router firmware (-)

CVE-2021-26086 [Vulners]
CVSS V3.1: 5.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian jira data center (<8.5.14, <8.13.6, <8.16.1)
- atlassian jira server (<8.5.14, <8.13.6, <8.16.1)

CVE-2022-21587 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- oracle e-business suite (le12.2.11)

CVE-2018-10561 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dasannetworks gpon router firmware (-)

CVE-2017-9841 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- phpunit project phpunit (le4.8.27, <5.6.3)

CVE-2023-1389 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- tp-link archer ax21 firmware (<1.1.4)

CVE-2024-4577 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- php (<8.1.29, <8.2.20, <8.3.8)

CVE-2024-36401 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- geoserver (<2.23.6, <2.24.4, <2.25.2)
- geotools (<29.6, <30.4, <31.2)

CVE-2022-1040 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sophos sfos (le18.5.3)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1078, T1210, T1505, T1071

IOCs:
File: 4
Url: 2
IP: 7
Domain: 1
Hash: 16

Soft:
Laravel, Metabase, Wordpress, curl, crontab

Algorithms:
md5, exhibit

Functions:
move_uploaded_file

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в развитии угрозы, исходящей от ботнета Androxgh0st, его сотрудничестве с ботнетом Mozi и рекомендуемых превентивных мерах кибербезопасности для снижения рисков, связанных с этими сложными ботнетами.
-----

Ботнет Androxgh0st, представляющий серьезную угрозу, выявленную исследовательской группой CloudSEK, активно использует многочисленные уязвимости с января 2024 года. Примечательно, что недавние данные указывают на потенциальное сотрудничество с ботнетом Mozi, расширяющим свой охват за пределы веб-серверов и включающим устройства Интернета вещей. Ботнет нацелен на различные технологии, такие как Cisco ASA, Atlassian JIRA и PHP-фреймворки, используя уязвимости для получения несанкционированного доступа и выполнения удаленных команд. В ответ на растущие угрозы, исходящие от Androxgh0st, CloudSEK рекомендует немедленно устранить выявленные уязвимости, чтобы снизить риски, связанные с этим сложным ботнетом.

Было замечено, что ботнет Androxgh0st использует CVE-2023-1389 и CVE-2024-36401, уделяя особое внимание таким тактикам, как использование уязвимостей PHP в PHPUnit, нацеливание на фреймворки Laravel и использование уязвимостей веб-сервера Apache. Эти методы позволяют хакерам получать доступ через черный ход, красть учетные данные и удаленно выполнять произвольный код, что потенциально может привести к компрометации конфиденциальных данных и учетных данных с правами доступа. Это подчеркивает эволюционный характер тактики ботнета и необходимость принятия упреждающих мер кибербезопасности для защиты от таких атак.

Кроме того, ботнет Mozi, который имел значительное присутствие в Китае, Индии и Албании, был нацелен на устройства Интернета вещей и маршрутизаторы, прежде чем был взломан китайскими правоохранительными органами в 2021 году. Несмотря на это вмешательство, остатки ботнета Mozi все еще сохраняются, что подчеркивает постоянную угрозу, создаваемую ботнетами. Интеграция полезной нагрузки Mozi в Androxgh0st указывает на потенциальное сотрудничество между двумя ботнетами, совместное использование инфраструктуры и тактик заражения, таких как внедрение команд, утечка учетных данных и использование уязвимостей, связанных с IoT.

В рамках инициативы CloudSEK TRIAD ведется активная работа по выявлению вредоносной инфраструктуры, связанной с ботнетом Androxgh0st, выявляя неправильно настроенные серверы ведения журнала и управления, используемые агентами ботнета. Анализ сообщений и веб-запросов, регистрируемых на этих серверах, позволяет получить представление об уязвимостях, используемых ботнетом, что способствует разработке упреждающих стратегий устранения угроз. Кроме того, конкретные признаки компрометации, такие как подозрительные HTTP-запросы и необычные попытки входа в систему, выделяются в качестве ключевых признаков вредоносной деятельности Androxgh0st, призывая организации сохранять бдительность и принимать соответствующие защитные меры.

Для борьбы с растущей угрозой, исходящей от Androxgh0st, и потенциальным сотрудничеством с Mozi организациям рекомендуется отслеживать подозрительные процессы, проверять критически важные каталоги на наличие вредоносной полезной нагрузки и тщательно проверять сетевые подключения на наличие признаков активности ботнета. Регулярное обновление встроенного ПО и программного обеспечения, проведение проверок целостности файлов и внедрение средств обнаружения конечных точек и реагирования на них являются важными шагами для обнаружения и предотвращения заражения Androxgh0st. Кроме того, постоянная оценка уязвимостей, мониторинг несанкционированных изменений настроек брандмауэра и аудит системных журналов на предмет выявления вредоносных действий являются важными методами повышения устойчивости кибербезопасности к изощренным атакам ботнетов.

#ParsedReport #CompletenessMedium
09-11-2024

WISH STEALER

https://www.cyfirma.com/research/wish-stealer

Report completeness: Medium

Threats:
Wish_stealer
Antidebugging_technique
Dll_sideloading_technique
Process_injection_technique

Industry:
Financial

TTPs:
Tactics: 6
Technics: 9

IOCs:
File: 5
Hash: 1

Soft:
Discord, Chromium, Centbrowser, 360browser, Node.js

Wallets:
tron, metamask, exodus_wallet, coinbase, tokenpocket

Crypto:
bitcoin, ethereum, litecoin, binance

Algorithms:
zip, md5

Functions:
Get-Clipboard, Set-Clipboard, getWallets, getExtension

Languages:
javascript, powershell

#ParsedReport #ExtractedSchema

Classified images:
code: 11, table: 1, windows: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что CYFIRMA выявила новую сложную вредоносную программу под названием "Wish Stealer", предназначенную для пользователей Windows с целью кражи конфиденциальной информации с помощью различных передовых методов и функциональных возможностей. Вредоносное ПО активно распространяется хакерами на таких платформах, как Discord, создавая значительный риск для организаций и пользователей, что требует принятия усиленных мер безопасности для снижения этих рисков в условиях меняющейся среды кибербезопасности.
-----

Недавно CYFIRMA обнаружила новую киберугрозу под названием "Wish Stealer", которая представляет собой сложную вредоносную программу на базе Node.js, предназначенную для пользователей Windows. Эта вредоносная программа предназначена для кражи конфиденциальной информации из различных источников, включая Discord, веб-браузеры, криптовалютные кошельки и аккаунты в социальных сетях. Wish Stealer использует передовые методы, такие как перехват сеанса, повышение привилегий и манипуляции с буфером обмена, для извлечения учетных данных для входа в систему, файлов cookie, данных кредитной карты и других персональных данных из целевых систем.

Вредоносная программа обладает множеством функциональных возможностей, таких как скрытие своей консоли, кража паролей браузера, манипулирование файлами cookie, замена адресов криптовалютных кошельков в буфере обмена адресом злоумышленника и эксфильтрация данных на основе определенных ключевых слов. Он постоянно отслеживает адреса криптовалюты в буфере обмена жертвы и изменяет их в интересах злоумышленника. Wish Stealer также нацелен на браузеры на базе Chromium, учетные данные в социальных сетях и конфиденциальные документы на основе предопределенных ключевых слов. Чтобы обеспечить сохранность в зараженных системах, он копирует себя в замаскированный каталог, добавляет записи в реестр и скрывает свои атрибуты, чтобы избежать обнаружения.

Кроме того, украденные данные упаковываются в сжатый файл с именем "wish.zip" и загружаются на удаленный сервер с использованием gofile.io API, а ссылка на скачивание предоставляется на сервере Discord злоумышленника. В ходе тестирования исследователи смогли сгенерировать ZIP-файл, содержащий конфиденциальные данные и системную информацию, запустив Node.js локальный сервер, что подчеркивает способность вредоносного ПО извлекать личную информацию, такую как номера телефонов и адреса электронной почты, особенно связанную с учетными записями Discord, с помощью вредоносных JavaScript-инъекций.

Расследования показали, что Wish Stealer впервые появился в сети Surface в октябре 2024 года, а активная хакерская группа в Discord продвигала его продажу. Эта группа, известная как "Aurita Stealer", инициировала обсуждение Wish Stealer в конце сентября 2024 года, что указывает на продолжающуюся активность, связанную с этим вредоносным ПО.

Меняющийся ландшафт кибербезопасности требует от пользователей и организаций постоянной бдительности в отношении новых угроз, таких как Wish Stealer. Его способность обходить меры безопасности, отключать антивирусное программное обеспечение и обходить механизмы двухфакторной аутентификации представляет значительный риск. Учитывая его продвижение хакерами и активные каналы распространения на таких платформах, как Discord, организациям настоятельно рекомендуется усилить свои меры безопасности, чтобы снизить риски, связанные с такими сложными видами вредоносных программ.

#ParsedReport #CompletenessMedium
09-11-2024

New Campaign Uses Remcos RAT to Exploit Victims

https://www.fortinet.com/blog/threat-research/new-campaign-uses-remcos-rat-to-exploit-victims

Report completeness: Medium

Threats:
Remcos_rat
Process_hollowing_technique

CVEs:
CVE-2017-0199 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)
- microsoft windows 7 (-)
- microsoft windows server 2008 (-, r2)
- microsoft windows server 2012 (-)
- microsoft windows vista (-)
have more...

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566.001, T1203, T1059.001, T1140, T1055.012, T1547.001, T1105, T1027, T1057

IOCs:
File: 7
Url: 6
Path: 1
Registry: 2
IP: 2
Hash: 6

Soft:
Microsoft Office, WordPad

Algorithms:
sha256, base64

Functions:
URLDownloadToFile, MemoryCopy, ZwSetInformationThread, ZwQueryInformationProcess, CreateProcessInternalW, CreateProcessInternal, ZwCreateSection, NtResumeThread, NtCreateThreadEx

Win API:
CreateProcessW, VirtualAlloc, CallWindowProcA, NtAllocateVirtualMemory, NtMapViewOfSection, NtGetContextThread, NtSetContextThread, ShellExecuteW, InternetOpenA, InternetOpenUrlA, have more...

Languages:
javascript, powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, dump: 8, code: 4, table: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается фишинговая кампания, использующая уязвимость CVE-2017-0199 для распространения нового варианта Remcos RAT. В нем описывается процесс доставки, методы выполнения, функциональные возможности и методы антианализа вредоносного кода, подчеркивая сложный характер атаки.
-----

В тексте описывается фишинговая кампания, которая использует уязвимость CVE-2017-0199 для распространения нового варианта Remcos RAT. Кампания начинается с фишингового электронного письма, содержащего вредоносный документ Excel, замаскированный под файл заказа. Когда получатель открывает файл, уязвимость используется для загрузки HTA-файла и его выполнения, инициируя доставку Remco.

Вредоносный код в документе Excel маскируется с помощью различных языков сценариев и методов кодирования, чтобы избежать обнаружения. Он загружает исполняемый файл, dllhost.exe и запускает код PowerShell, чтобы обеспечить сохранение на устройстве жертвы. Код PowerShell скрывается в фоновом режиме, загружает вредоносный код из извлеченных файлов и выполняет его в памяти с использованием методов антианализа.

Вредоносный код выполняет блокировку процесса, чтобы запустить себя во вновь созданном процессе, Vaccinerende.exe скопированном из dllhost.exe. Он поддерживает постоянство, добавляя элемент автоматического запуска в системный реестр, и загружает зашифрованную полезную нагрузку Remcos с URL-адреса, размещая ее непосредственно в памяти в виде файлового варианта. Вариант Remcos инициализируется блоком настроек, содержащим настройки, которые определяют его работу на устройстве жертвы, включая связь с сервером C&C и включение различных функций, таких как кейлоггер, скриншот и запись аудио.

После регистрации на сервере C&C Remcos получает управляющие команды для выполнения задач на устройстве жертвы. Эти команды позволяют Remcos собирать такую информацию, как списки запущенных процессов, сведения о системе и названия активных программ. В тексте подробно описывается процесс обмена данными между Remcos и его C&C-сервером и объясняются функциональные возможности, которые он может выполнять на устройстве жертвы на основе полученных команд.

Таким образом, проведенный анализ позволяет получить представление о доставке, исполнении и функциональных возможностях варианта Remcos RAT, использованного в фишинговой кампании. В нем описываются методы, используемые для того, чтобы избежать обнаружения, обеспечить сохраняемость, связаться с сервером управления и выполнения команд на устройстве жертвы, а также подчеркивается сложная природа вредоносного кода и меры по предотвращению его анализа.

#ParsedReport #CompletenessHigh
09-11-2024

Breaking Down Earth Estries' Persistent TTPs in Prolonged Cyber Operations. Summary

https://www.trendmicro.com/en_us/research/24/k/breaking-down-earth-estries-persistent-ttps-in-prolonged-cyber-o.html

Report completeness: High

Actors/Campaigns:
Ghostemperor (motivation: cyber_espionage)

Threats:
Zingdoor
Deed_rat
Trillclient
Hemigate
Crowdoor
Cobalt_strike
Portscan_tool
Ninjacopy_tool
Credential_harvesting_technique
Chinachopper
Dll_sideloading_technique
Shadowpad
Dnstunnelling_technique
Credential_dumping_technique
Fuxosdoor
Cryptmerlin
Merlin_tool
Browstheft
Draculoader
Sspdump_tool

Industry:
Government

TTPs:
Tactics: 8
Technics: 23

IOCs:
Command: 16
Path: 17
File: 37
Url: 5
Hash: 28
Domain: 11
IP: 1

Soft:
Microsoft Exchange, PsExec, cURL, Microsoft Exchange server, Active Directory, Gmail, Windows Defender, Windows Service

Algorithms:
base64, sha256, exhibit, xor

Functions:
Get-ChildItem

Win API:
CreateDirectory

Win Services:
Tomcat6

Languages:
golang, powershell

Platforms:
x86

Links:
https://github.com/Ne0nd0g/merlin-agent

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 5, code: 8

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Earth Estries - это высокоразвитая хакерская группа, которая действует как минимум с 2020 года, демонстрируя передовые технические возможности и стратегическую адаптивность в отношении правительств и технологической индустрии. В своей деятельности они используют широкий спектр инструментов и тактик, уделяя особое внимание использованию уязвимостей в таких системах, как серверы Microsoft Exchange и средства управления сетевыми адаптерами, для обеспечения сохранности, контроля и проведения эксфильтрации данных. Организации могут повысить уровень своей кибербезопасности, понимая тактику Earth Estries и используя информацию об угрозах для упреждающей защиты своей среды от таких сложных киберугроз.
-----

Earth Estries - это изощренная хакерская группа, которая действует как минимум с 2020 года, нацеливаясь на правительства и технологическую индустрию. Они известны тем, что используют в своих кампаниях разнообразные тактики, методы и инструменты, демонстрируя высокий уровень технических возможностей и стратегической адаптивности. Earth Estries использует в своих операциях две различные цепочки атак, уделяя особое внимание использованию уязвимостей в таких системах, как серверы Microsoft Exchange и средства управления сетевыми адаптерами.

В своей первой цепочке атак Earth Estries использует такие инструменты, как Cobalt Strike, Trillclient, Hemigate и Crowdoor, предоставляемые через CAB-файлы, для поддержания контроля и облегчения горизонтального перемещения внутри сети. PsExec - это широко используемый инструмент для первоначального доступа, в то время как Trillclient используется для кражи учетных данных пользователей. Хакер демонстрирует глубокое понимание среды своих целей, используя специальные инструменты, такие как wget, для загрузки документов из внутренних систем.

Вторая цепочка атак включает в себя развертывание вредоносных программ, таких как Zingdoor, SnappyBee и Cobalt Strike, с помощью cURL-загрузок после получения первоначального доступа с использованием серверов Microsoft Exchange. Эти бэкдоры периодически обновляются и заменяются для поддержания работоспособности и контроля. Сбор и эксфильтрация данных осуществляются с помощью таких инструментов, как RAR и cURL, а информация отправляется в анонимные файлообменные сервисы.

Earth Estries постоянно обновляет свои инструменты и бэкдоры, демонстрируя способность адаптироваться в ответ на защитные меры. Они демонстрируют глубокое понимание целевой среды и используют комбинацию установленных инструментов и пользовательских бэкдоров для создания многоуровневой стратегии атаки, которую трудно обнаружить и смягчить. Хакер использует такие инструменты, как Cobalt Strike, Zingdoor и Snappybee, для различных этапов атак, используя дополнительную загрузку библиотек DLL и другие методы загрузки, чтобы повысить устойчивость и избежать обнаружения.

Кроме того, Earth Estries использует такие методы, как прокси-серверы, для сокрытия бэкдор-трафика и поддержания операционной безопасности. В дополнение к известным инструментам, они также разработали индивидуальные бэкдоры, такие как Cryptmerlin, на основе вредоносных программ с открытым исходным кодом, демонстрируя высокий уровень сложности своих операций. Хакер использует различные методы загрузки своих инструментов, включая исполняемые загрузчики и версии библиотек DLL, чтобы обеспечить успешное развертывание вредоносной полезной нагрузки.

Чтобы опережать возникающие угрозы, такие как землетрясения на Земле, организации могут использовать отчеты об угрозах и аналитические материалы для активной защиты своей среды, снижения рисков и эффективного реагирования на киберугрозы. Понимая тактику, методы и процедуры хакеров, подобных Earth Estries, компании могут повысить уровень своей кибербезопасности и защититься от изощренных кибератак.

#ParsedReport #CompletenessHigh
09-11-2024

GuLoader: Evolving Tactics in Latest Campaign Targeting European Industry. Initial Access

https://www.cadosecurity.com/blog/guloader-targeting-european-industrial-companies

Report completeness: High

Threats:
Cloudeye
Spear-phishing_technique
Process_injection_technique
Remcos_rat
Netwire_rat
Agent_tesla
Junk_code_technique

Geo:
Kazakhstan, Poland, Romania, Germany

TTPs:
Tactics: 1
Technics: 11

IOCs:
Url: 5
File: 11
Registry: 1
Hash: 66
Path: 5
IP: 3
Email: 1

Algorithms:
xor, base64, gzip

Win API:
VirtualAlloc

Languages:
powershell

Platforms:
intel

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 7, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4