#ParsedReport #CompletenessMedium
16-11-2024

Inside Intelligence Center: Financially Motivated Chinese Threat Actor SilkSpecter Targeting Black Friday Shoppers. Course of Action. Course of Action

https://blog.eclecticiq.com/inside-intelligence-center-financially-motivated-chinese-threat-actor-silkspecter-targeting-black-friday-shoppers

Report completeness: Medium

Actors/Campaigns:
Silkspecter (motivation: financially_motivated)

Threats:
Typosquatting_technique
Seo_poisoning_technique

Industry:
E-commerce, Financial

Geo:
Usa, China, Chinese, Hong kong

ChatGPT TTPs:
do not use without manual check
T1566, T1071, T1041, T1608

IOCs:
File: 1
Hash: 2
Domain: 11

Soft:
OpenReplay, TikTok

Functions:
Stripe

Languages:
javascript, php

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 3, windows: 2, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждаются методы мониторинга и индикаторы для выявления фишинговых кампаний, посвященных "черной пятнице", организованных хакером SilkSpecter. Особое внимание уделяется мониторингу URL-адресов, связанных со скидками, конкретным путям URL-адресов, таким как "/homeapi/collect", и доменам с "trusttollsvg". Фишинговая кампания была нацелена на покупателей в сфере электронной коммерции во время сезона "Черной пятницы", используя поддельные скидки для получения конфиденциальных данных. SilkSpecter использовал такие тактические приемы, как динамическая настройка языка и имитация законных доменов электронной коммерции. Фишинговый набор хакера собирал данные, включая номера телефонов, для потенциальных будущих атак и использовал API-интерфейсы, такие как Stripe, для финансовых махинаций. Принадлежность SilkSpecter к китайским хакерам основывалась на различных показателях, таких как язык кода и использование китайских серверов.
-----

В тексте содержится информация о методах мониторинга и индикаторах для выявления фишинговых кампаний, посвященных "черной пятнице", организованных хакером, известным как SilkSpecter. В нем подчеркивается важность мониторинга URL-адресов с тематикой, связанной со скидками и "Черной пятницей", с конкретными URL-адресами, такими как "/homeapi/collect", и доменами, включающими "trusttollsvg". Кроме того, предлагается использовать IOCS, которыми делится EclecticIQ, для отслеживания фишинговых доменов SilkSpecter и настройки оповещений о трафике, связанном с конкретными ASN, связанными с китайскими компаниями, такими как Zhejiang Taobao Network Co., Ltd. и Alibaba US Technology Co., Ltd.

Фишинговая кампания, обнаруженная в октябре 2024 года, была нацелена на покупателей электронной коммерции в Европе и США, которые воспользовались высокой активностью онлайн-покупок в сезон "Черной пятницы". SilkSpecter использовал поддельные товары со скидкой, чтобы выманить у жертв данные о владельцах их карт (CHD), конфиденциальные аутентификационные данные (SAD) и личную информацию (PII). Хакер использовал законный платежный процессор Stripe для получения конфиденциальных CHD при совершении подлинных транзакций.

SilkSpecter использовала различные тактики, чтобы сделать свои фишинговые сайты более убедительными, в том числе использовала Google Translate для динамической настройки языка в зависимости от IP-адресов жертв. Фишинговые домены, связанные с SilkSpecter, часто использовали домены верхнего уровня, такие как .top, .shop, .store и .vip, часто имитируя доменные имена законных организаций электронной коммерции.

Анализ фишинговых доменов с помощью таких инструментов, как Urlscan, выявил такие закономерности, как наличие конечных точек "trusttollsvg" и "/homeapi/collect" - критических показателей, связанных с кластером активности SilkSpecter. Фишинговые страницы предлагали заманчивые скидки в "черную пятницу", отслеживали активность посетителей с помощью веб-трекеров и собирали метаданные браузера для динамического перевода и аутентификации.

Фишинговый набор SilkSpecter также побуждал жертв предоставлять свои телефонные номера, что потенциально могло быть использовано в будущем при вишинговых атаках. Используя законные API, такие как Stripe, SilkSpecter удалось обрабатывать платежи и передавать конфиденциальные данные на серверы, контролируемые злоумышленниками, что указывает на многоэтапный процесс атаки с целью потенциального финансового мошенничества.

Отнесение SilkSpecter к китайским хакерам основывалось на различных показателях, включая языковые индикаторы в фишинговом коде, зависимость от размещенных в Китае серверов CDN и использование oemapps, китайской SaaS-платформы. Хакер был связан с многочисленными IP-адресами и доменными именами, связанными с фишингом, которые часто перенаправлялись через Cloudflare для обеспечения анонимности.

#ParsedReport #CompletenessLow
15-11-2024

APT-C-55 Kimsuky GitHub. Analysis of the attack activities of APT-C-55 (Kimsuky) using GitHub as a payload platform. Analysis of the attack activities of APT-C-55 (Kimsuky) using GitHub as a payload platform

https://www.ctfiot.com/215546.html

Report completeness: Low

Actors/Campaigns:
Kimsuky (motivation: information_theft)

Threats:
Babyshark
Double_kill_vuln
Double_star_vuln
Nightmare_formula_vuln

Industry:
Government

Geo:
Korea, Russia, German, Korean

ChatGPT TTPs:
do not use without manual check
T1193, T1027, T1071, T1105

IOCs:
Url: 8
File: 8
Domain: 2
Hash: 4

Soft:
WeChat

Languages:
powershell, php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Хакерская группа, известная как APT-C-55 или Kimsuky, изначально нацеленная на южнокорейские компании, расширила свою деятельность по всему миру и усовершенствовала тактику, используя GitHub для распространения вредоносных программ. Недавний анализ выявил передовые методы и вредоносную деятельность группы, что позволило выработать рекомендации по мерам кибербезопасности для защиты от подобных угроз.
-----

APT-C-55, также известная как Kimsuky или Mystery Baby, - это хакерская группа, впервые выявленная Касперским в 2013 году. Первоначально Kimsuky занималась кибератаками на южнокорейские объекты, такие как аналитические центры, правительственные ведомства, средства массовой информации и образовательные учреждения, но с тех пор расширила свою деятельность, включив в нее Соединенные Штаты, Россию, Европу и другие страны. Основной целью группы является кража разведывательных данных.

В ходе недавнего анализа, проведенного 360 Advanced Threat Research Institute, был обнаружен вредоносный файл, связанный с Kimsuky, содержащий код, который имеет значительное сходство с ранее использовавшимся вредоносным макрокодом группы. Это открытие указывает на новую тактику Kimsuky, использующую GitHub в качестве платформы распространения вредоносных программ для облегчения таких действий, как кража информации. Это открытие не только демонстрирует технологическую эволюцию группы, но и подчеркивает их изощренную тактику угроз и скрытности, направленную на конкретные объекты.

В ходе расширенного поиска угроз было замечено, что Kimsuky использовали файлы типа LNK для своих атак, причем внимание привлек один конкретный файл с именем "_ .docx.lnk". Дальнейший анализ показал, что файл на самом деле содержит запутанный код скрипта, напоминающий известный вредоносный макрокод Kimsuky, что вызывает опасения. Анализ также выявил использование вредоносных документов в качестве первоначальных векторов атаки, за которыми последовало развертывание дополнительных вредоносных программ для кражи данных. Более того, вредоносный адрес, встроенный в запутанный код, привел к всестороннему расследованию соответствующей учетной записи на GitHub.

При проверке FTP-сервера, управляемого злоумышленником, были обнаружены папки с именами strongsi.sportsontheweb.net и sussthanks.sportsontheweb.net, что указывает на их роль в проведении кампаний и сборе данных из скомпрометированных систем. Наличие в коде конкретной информации, связанной с Южной Кореей, еще больше укрепило связь с типичными схемами атак Кимсуки, что позволило отнести эту деятельность к группе.

Для усиления мер кибербезопасности против угроз, подобных Kimsuky, в документе рекомендуются такие действия, как проверка целостности файлов с помощью инструментов проверки подписи, развертывание инструментов сетевого мониторинга для отслеживания связи с неизвестными репозиториями GitHub, мониторинг запущенных процессов на предмет подозрительных действий, внедрение политик внесения приложений в белый список, проведение тренингов по повышению осведомленности сотрудников о безопасности и создание резервных копий данных. и планы восстановления, направленные на смягчение последствий инцидентов безопасности.

Анализ угроз был проведен институтом перспективных исследований угроз 360 Advanced Threat Research Institute, подразделением Группы 360 Government and Enterprise Security Group, в состав которого входят старшие эксперты по безопасности, занимающиеся выявлением, защитой от передовых угроз и исследованием их последствий. Институт имеет успешный опыт выявления и раскрытия известных кибератак, заслужив признание за свой вклад в обеспечение национальной сетевой безопасности.

#ParsedReport #CompletenessLow
16-11-2024

XLoader running via JAR signing tool (jarsigner.exe)

https://asec.ahnlab.com/ko/84431

Report completeness: Low

Threats:
Formbook
Dll_sideloading_technique

ChatGPT TTPs:
do not use without manual check
T1574.002, T1027, T1055.001, T1005

IOCs:
File: 5
Hash: 2
Url: 1

Algorithms:
md5

Languages:
java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Аналитический центр безопасности AhnLab выявил распространение вредоносного ПО XLoader с использованием технологии сторонней загрузки DLL, использующего легальные приложения от Eclipse Foundation для нанесения ущерба системам пользователей и кражи конфиденциальных данных. Злоумышленники используют вредоносные DLL-файлы наряду с законными EXE-файлами для выполнения вредоносных функций, создавая серьезную киберугрозу, которая требует осторожности от пользователей.
-----

Аналитический центр безопасности AhnLab (ASEC) обнаружил распространение вредоносного ПО XLoader с использованием технологии сторонней загрузки DLL. Этот метод атаки заключается в размещении легитимного приложения и вредоносной библиотеки DLL в одном каталоге, чтобы вредоносная библиотека DLL запускалась вместе с приложением при запуске. В этом случае для подписи JAR-файлов используется законное приложение jarsigner, созданное во время установки пакетов IDE от Eclipse Foundation. Распространяемые файлы сжимаются и содержат как законные EXE-файлы, так и вредоносные DLL-файлы. Примечательно, что только два файла с надписью "jli.dll " и"concrt140e.dll " обнаружены вредоносные файлы, не имеющие действительных подписей, в отличие от других файлов из Eclipse Foundation.

Файл Documents2012.exe загружает вредоносный файл jli.dll и вызывает его функцию экспорта. Проблема заключается в том, что все функции экспорта в этой вредоносной библиотеке DLL имеют одинаковые адреса, что позволяет выполнять определенные злоумышленником функции при вызове любой произвольной функции в ней. Кроме того, файл concrt140e.dll, также входящий в состав дистрибутива, представляет собой зашифрованную полезную информацию, которая расшифровывается во время атаки, вводится в обычный файл aspnet_wp.exe и впоследствии выполняется. Эта внедренная вредоносная программа работает как XLoader, извлекая конфиденциальные пользовательские данные, такие как информация о компьютере и браузере, а также участвуя в таких действиях, как загрузка дальнейшего вредоносного программного обеспечения.

Примечательно, что большинство файлов в дистрибутиве имеют действительные сертификаты Eclipse Foundation, что создает ложное ощущение безопасности. Однако крайне важно соблюдать осторожность, поскольку вредоносные библиотеки DLL запускаются с помощью, казалось бы, безобидных исполняемых файлов. Пользователям настоятельно рекомендуется проявлять осторожность при работе с распространяемыми файлами, которые поставляются в комплекте с исполняемыми компонентами, чтобы не стать жертвами подобных киберугроз.

#ParsedReport #CompletenessLow
16-11-2024

Thanos Operator Targets Police Department in United Arab Emirates

https://blog.sonicwall.com/en-us/2024/11/thanos-operator-targets-police-in-united-arab-emirates

Report completeness: Low

Threats:
Redrum

Victims:
Sharjah police force

Geo:
United arab emirates, Arab emirates

ChatGPT TTPs:
do not use without manual check
T1027, T1016, T1584

IOCs:
File: 1

Crypto:
bitcoin

Algorithms:
base64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что команда исследователей угроз SonicWall Capture Labs выявила новый вариант программы-вымогателя Thanos, нацеленной на полицейское управление в ОАЭ, обнаружила методы ее распространения и обфускации, связала ее с полицейскими силами Шарджи и оперативно разработала сигнатуру для защиты от этого специфического вируса. В тексте также подчеркивается решающая роль команды в сборе информации об угрозах и внесении вклада в более широкое сообщество по кибербезопасности путем обмена информацией, позволяющей защитникам противостоять развивающимся киберугрозам.
-----

Команда исследователей угроз SonicWall Capture Labs недавно обнаружила новый вариант программы-вымогателя Thanos, который был специально нацелен на полицейское управление в Объединенных Арабских Эмиратах (ОАЭ). Thanos ransomware - это программа-вымогатель как услуга (RaaS), известная своей простотой настройки и адаптации, позволяющая киберпреступникам создавать и внедрять программы-вымогатели, соответствующие их конкретным потребностям. Эта вредоносная программа печально известна своими возможностями кражи данных, способностью распространяться по сетям и изощренными методами уклонения, предназначенными для того, чтобы избежать обнаружения.

Версия программы-вымогателя Thanos, нацеленная на полицейское управление ОАЭ, написана на .NET и использует методы обфускации, чтобы скрыть свои злонамеренные намерения. Однако после разборки исследователи обнаружили, что обфускацию было относительно легко обойти, поскольку она в основном опиралась на кодировку base64 для обфускации своих строк. Используя простой скрипт, исследователи смогли расшифровать все строки, закодированные в base64, и раскрыть основные функциональные возможности вредоносного ПО. Анализ деобфусцированного кода показал, что вредоносная программа предназначена для сканирования внутренней сети в поисках подключенных к Сети компьютеров, что указывает на ее намерение распространяться в целевой сети.

Исследователи обнаружили в вредоносном ПО подсказки, которые заставили их предположить, что этот конкретный вариант был разработан специально для полиции Шарджи в ОАЭ. Примечательно, что вредоносное ПО использовало определенную комбинацию имени пользователя и пароля, связанную с полицейским управлением. В ответ на эту угрозу SonicWall Capture Labs оперативно создала сигнатуру для защиты от этого специфического вида программ-вымогателей Thanos.

Команда исследователей угроз SonicWall Capture Labs играет решающую роль в сборе, анализе и проверке достоверности информации об угрозах, поступающей из сети SonicWall Capture Threat network, которая включает более 1 миллиона датчиков безопасности, установленных почти в 200 странах и территориях по всему миру. Эта команда ежедневно проводит углубленные исследования с целью выявления и устранения критических уязвимостей и вредоносных программ, гарантируя, что клиенты SonicWall будут обеспечены необходимой защитой от возникающих киберугроз.

Более того, помимо обеспечения безопасности сетей по всему миру, исследовательская группа также вносит свой вклад в более широкое сообщество аналитиков угроз, публикуя еженедельные подробные технические анализы значимых угроз, особенно тех, которые представляют значительный риск для малого бизнеса. Делясь такими идеями, команда стремится наделить правозащитников знаниями и инструментами, необходимыми для эффективной защиты их сетей.

#ParsedReport #CompletenessLow
16-11-2024

Fake North Korean IT Worker Linked to BeaverTail Video Conference App Phishing Attack

https://unit42.paloaltonetworks.com/fake-north-korean-it-worker-activity-cluster

Report completeness: Low

Actors/Campaigns:
Cl-sta-0237
Contagious_interview
Lazarus
Wagemole

Threats:
Beavertail
Invisibleferret
Supply_chain_technique
Residential_proxy_technique

Industry:
Financial

Geo:
Russia, Apac, America, North korea, Japan, Emea, North korean, Dprk, Laos, China

ChatGPT TTPs:
do not use without manual check
T1566, T1204.002, T1078, T1105, T1090

IOCs:
IP: 1
Domain: 7
Email: 37

Soft:
MiroTalk

Crypto:
ethereum

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследователи подразделения 42 выявили северокорейский кластер ИТ-специалистов, известный как CL-STA-0237, который участвует в фишинговых атаках с использованием приложений для видеоконференций, зараженных вредоносным ПО. Этот кластер работает из Лаоса, поддерживая незаконную деятельность Северной Кореи, такую как оружейные программы. Отмечен переход от деятельности, направленной на получение стабильного дохода, к агрессивным кампаниям по распространению вредоносного ПО, что свидетельствует о глобальном охвате северокорейских ИТ-специалистов. Изучается связь между кампанией по распространению вредоносного ПО для собеседований и деятельностью ИТ-работников Северной Кореи, в частности, кампанией Wagemole. Подробно описывается причастность CL-STA-0237 к краже информации у американской компании и к атаке вредоносного ПО на соискателей работы. Кроме того, финансовая связь между кампанией Wagemole и лицом, находящимся под санкциями в отношении Северной Кореи, подчеркивает получение доходов от незаконной деятельности. В тексте подчеркивается постоянная угроза, исходящая от северокорейских киберпреступников, и рекомендуются механизмы защиты. Также упоминаются совместные усилия по борьбе со злоумышленными киберпреступниками.
-----

Северокорейский кластер ИТ-специалистов CL-STA-0237 работает из Лаоса и был вовлечен в недавние фишинговые атаки с использованием приложений для видеоконференций, зараженных вредоносными программами.

Этот кластер является частью более широкой сети северокорейских ИТ-специалистов, поддерживающих незаконную деятельность, такую как программы создания оружия массового уничтожения и баллистических ракет.

Изменение активности связано с переходом от деятельности, направленной на получение стабильного дохода, к более агрессивным кампаниям по борьбе с вредоносным ПО.

В кампании "Заразительные собеседования" участвовали северокорейские хакеры, выдававшие себя за фальшивых работодателей, предлагавших ИТ-специалистам работу для распространения вредоносного ПО.

CL-STA-0237 заражал соискателей работы вредоносными программами, представляясь американской компанией, предоставляющей ИТ-услуги для малого и среднего бизнеса, и используя украденную информацию.

Кластер использовал местные IP-адреса в Лаосе, что потенциально указывало на физическое присутствие в Лаосе.

Был получен доступ к системе единого входа компании, что свидетельствует о детальном проникновении в инфраструктуру компании.

Транзакции с кошелька Ethereum связывали кампанию Wagemole с находящимся под санкциями лицом из Северной Кореи, причастным к незаконной деятельности в России и Лаосе.

Северокорейские хакеры добились успеха в получении доходов от незаконной деятельности с помощью новых тактик, таких как инсайдерские угрозы и вредоносные атаки.

Компаниям рекомендуется внедрять такие механизмы защиты, как Cortex XDR, XSIAM и Prisma Cloud, для защиты от продвинутых киберугроз.

#ParsedReport #CompletenessMedium
15-11-2024

Sailing Into Danger: DONOT APT s Attack on Maritime & Defense Manufacturing

https://cyble.com/blog/donots-attack-on-maritime-defense-manufacturing

Report completeness: Medium

Actors/Campaigns:
Donot

Victims:
Karachi shipyard & engineering works

Industry:
Military, Government, Maritime

Geo:
Asia, Pakistan

TTPs:
Tactics: 6
Technics: 10

IOCs:
File: 5
Url: 3
Domain: 2
Hash: 2

Soft:
Microsoft Office

Algorithms:
aes, xor, base64, exhibit, hmac, sha256

Languages:
powershell

Links:
https://github.com/CRIL-Threat-Intelligence/Sigma\_rules/blob/main/Detection%20of%20Suspicious%20PowerShell.exe%20Copy%20and%20Command%20Execution.txt
https://github.com/CRIL-Threat-Intelligence/Yara\_rules/blob/main/Donot\_APT.txt

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, schema: 1, code: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в киберкампании, нацеленной на промышленную промышленность Пакистана с целью поддержки морского и оборонного секторов, организованной APT group DONOT. Кампания включает в себя сложные методы, такие как использование замаскированных файлов LNK, команд PowerShell, методов шифрования и специальных отраслевых документов-приманок. Злоумышленники сосредотачиваются на сборе системной информации, использовании передовых коммуникационных стратегий и разработке своей тактики для доставки и поддержания полезной нагрузки, подчеркивая при этом важность эффективных мер кибербезопасности для противодействия таким угрозам, нацеленным на критически важные сектора.
-----

Анализ, проведенный Cyble Research and Intelligence Labs (CRIL), выявил киберкампанию, направленную против обрабатывающей промышленности Пакистана для поддержки морского и оборонного секторов, организованную группой APT, известной как DONOT (также известной как APT-C-35). У DONOT есть опыт атак на правительственные и военные объекты по всей Южной Азии. В этой кампании злоумышленники использовали сложный метод, используя вредоносный файл LNK, замаскированный под документ в формате RTF, содержащий зашифрованные данные. Файл LNK при запуске запускает серию команд с использованием PowerShell для доставки RTF-документа и полезной нагрузки. Чтобы обеспечить постоянство, вредоносная программа создает запланированную задачу, которая выполняется каждые пять минут. Связь с сервером управления (C&C) запутывается с помощью шифрования AES и кодирования Base64, чтобы избежать обнаружения.

Заметные изменения, наблюдаемые в этой кампании, включают в себя новый метод шифрования для передачи данных C&C, при котором ключ дешифрования для полезной нагрузки второго этапа теперь содержится в загруженном двоичном коде, а не в жестком коде. Злоумышленники собирают системную информацию перед отправкой конечной полезной нагрузки, чтобы определить ценность цели. Переменные среды используются для хранения важных сведений о конфигурации, таких как адреса C&C и информация о задачах.

Первоначальным источником заражения в этой кампании было использование замаскированного файла LNK, отправленного по электронной почте в виде спама в архиве RAR. После запуска файла LNK программа PowerShell запускает дополнительные команды, что приводит к установке более распространенного вредоносного ПО для сохранения. Интересным аспектом является включение специального документа, связанного с верфью и инженерными работами в Карачи, что указывает на особое внимание к отраслям, поддерживающим оборонный сектор в Пакистане.

Взаимодействие C&C включает в себя создание случайных доменов для серверов резервного копирования, что повышает уровень сложности и устойчивости к атаке. Вредоносное ПО использует методы шифрования для связи и доставки полезной нагрузки, при этом TA контролирует ключевые аспекты поведения вредоносного ПО с помощью расшифрованных данных конфигурации JSON, полученных с сервера C&C.

В случае успешного развертывания полезной нагрузки или сбоя вредоносная программа stager регистрирует подробную системную информацию, обменивается данными с сервером управления и контроля и сохраняет зашифрованные записи для соответствующих данных в переменных среды. Кампания демонстрирует эволюцию тактики, переходя от файлов Microsoft Office к файлам LNK в качестве основного источника заражения и внедряя усовершенствованные стратегии передачи данных и шифрования на различных этапах.

Использование динамической генерации доменов, обновленных методов шифрования и внедрение специальных отраслевых приманок подчеркивают передовой характер этой киберкампании. Анализ подчеркивает меняющийся ландшафт угроз, создаваемых APT-группами, такими как DONOT, и необходимость принятия строгих мер кибербезопасности для обнаружения и смягчения таких изощренных атак, нацеленных на критически важные секторы, такие как оборонная и морская промышленность.

#ParsedReport #CompletenessMedium
15-11-2024

Babble Babble Babble Babble Babble Babble BabbleLoader

https://intezer.com/blog/research/babble-babble-babble-babble-babble-babble-babbleloader

Report completeness: Medium

Threats:
Babbleloader
Junk_code_technique
Donut
Furtim
Raspberry_robin
Latrodectus
Whitesnake_stealer
Whitesnake
Meduza

Industry:
Entertainment, Financial

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1027, T1106, T1140, T1036, T1055, T1082, T1573

IOCs:
Hash: 84
File: 3

Soft:
DirectX, Windows Defender

Algorithms:
xor

Functions:
GetDesc

Win API:
NtCreateSection, NtMapViewOfSection, NtUnmapViewOfSection, NtClose, NTQuerySystemInformation, RtlAllocateHeap, RtlFreeHeap, CreateDXGIFactory, GetProcAddress

Platforms:
intel

Links:
https://github.com/TheWover/donut
https://github.com/matinrco/tor