#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в анализе группы программ-вымогателей Helldown, включая их тактику, методы и процедуры (TTP), их эволюцию от использования систем Windows до Linux, их методы работы, действия, целевые жертвы, потенциальные связи с другими группами программ-вымогателей, а также необходимость постоянного мониторинга и анализа чтобы смягчить угрозы.
-----

В блоге представлен подробный анализ тактики, методов и процедур группы программ-вымогателей Helldown (TTP). Helldown - это относительно новая программа для взлома (IS), которая изначально была известна тем, что внедряла программы-вымогатели исключительно в системах Windows. Однако 31 октября 2024 года команда Sekoia по обнаружению и исследованию угроз (TDR) обнаружила твит, в котором говорилось о появлении версии Linux, ориентированной на системы Linux. Группа активна и использует свои собственные программы-вымогатели, применяя тактику двойного вымогательства, выуживая данные и угрожая опубликовать их, если требования о выкупе не будут выполнены.

По состоянию на 7 ноября 2024 года в результате атаки Helldown был выявлен 31 случай компрометации. Жертвами в основном стали предприятия малого и среднего бизнеса, а Zyxel Europe, поставщик сетевых решений и решений для кибербезопасности, является одной из крупных пострадавших компаний. Большинство жертв находятся в Соединенных Штатах, но их значительное присутствие наблюдается в Европе, особенно во Франции. Активность группы меняется с течением времени, с заметными всплесками и спадами в ее деятельности.

Методы работы группы включают использование уязвимостей для проникновения в сети и осуществления программ-вымогателей. Поведение программ-вымогателей Helldown включает в себя такие действия, как удаление теневых копий системы, шифрование файлов случайными строками, изменение значков файлов, создание уведомлений о требовании выкупа и выполнение действий после шифрования, таких как выключение зараженных компьютеров. Анализ показывает, что программа-вымогатель имеет сходство с программой-вымогателем Darkrace, что указывает на потенциальную связь между этими двумя группами.

Кроме того, анализ Linux-версии программы-вымогателя Helldown, нацеленной на серверы VMware ESX, выявил ее функциональность, включая шифрование файлов на основе указанных расширений, создание уведомления о требовании выкупа и действия по предоставлению программе-вымогателю доступа на запись к файлам изображений. Хотя программа-вымогатель обладает некоторыми возможностями, она, по-видимому, менее сложна и, возможно, все еще находится в стадии разработки.

Кроме того, возникли дискуссии относительно возможной связи между группами программ-вымогателей Helldown и Hellcat после предполагаемого взлома с участием Schneider Electric сайта об утечке данных Hellcat (DLS). Однако на основе имеющихся данных не было выявлено никаких определенных связей между этими двумя группами. Обе группы, по-видимому, действуют независимо друг от друга, с различными характеристиками и операциями.

Исследование подчеркивает активный характер группы Helldown, их нацеленность на устранение нераскрытых уязвимостей в брандмауэрах Zyxel и потенциальную эволюцию их тактики с целью внедрения виртуализированных инфраструктур с помощью VMware. Несмотря на то, что между Helldown и другими вариантами программ-вымогателей, такими как Darkrace и Donex, существует сходство, в настоящее время не ясно, какая связь между ними существует. Постоянный мониторинг и анализ имеют решающее значение для понимания и устранения возникающих угроз, создаваемых Helldown и связанными с ними программами-вымогателями.

#ParsedReport #CompletenessHigh
20-11-2024

Spot the Difference: Earth Kasha's New LODEINFO Campaign And The Correlation Analysis With The APT10 Umbrella

https://www.trendmicro.com/en_us/research/24/k/lodeinfo-campaign-of-earth-kasha.html

Report completeness: High

Actors/Campaigns:
Mirrorface
Stone_panda
Liberalface
Twisted_panda
Ta428
A41apt
Volt_typhoon

Threats:
Lodeinfo
Spear-phishing_technique
Cobalt_strike
Noopdoor
Gosicloader
Dll_sideloading_technique
Lodeinfoldr
Noopldr
Junk_code_technique
Process_injection_technique
Mirrorstealer
Sigloader
Sodamaster
P8rat
Fyanti
Hui_loader
Lilimrat
Downiissa
Lolbin_technique
Windbg_tool
Process_hacker_tool
Procmon_tool

Victims:
Public institutions, Academics, High-profile organizations

Industry:
Transport, Energy, Aerospace, Government

Geo:
Japan, China, Thailand, India, Taiwan

CVEs:
CVE-2013-3900 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (-)
- microsoft windows 10 1607 (-)
- microsoft windows 10 1809 (-)
- microsoft windows 10 1909 (-)
- microsoft windows 10 20h2 (-)
have more...
CVE-2023-3519 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler application delivery controller (<12.1-55.297, <13.0-91.13, <13.1-37.159, <13.1-49.13, 11.1-65.22)
- citrix netscaler gateway (<13.0-91.13, <13.1-49.13)

CVE-2023-45727 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- northgrid proself (<1.09, <1.66, <5.63)

CVE-2023-27997 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (le1.1.6, le1.2.13, le2.0.12, le7.0.9, le7.2.3)
- fortinet fortios (le6.0.16, le6.2.13, le6.4.12, le7.0.11, le7.2.4)

CVE-2023-28461 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- arraynetworks arrayos ag (le9.4.0.481)

CVE-2023-3466 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler application delivery controller (<12.1-55.297, <13.0-91.13, <13.1-37.159, <13.1-49.13, 11.1-65.22)
- citrix netscaler gateway (<13.0-91.13, <13.1-49.13)

CVE-2023-3467 [Vulners]
CVSS V3.1: 8.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler application delivery controller (<12.1-55.297, <13.0-91.13, <13.1-37.159, <13.1-49.13, 11.1-65.22)
- citrix netscaler gateway (<13.0-91.13, <13.1-49.13)


ChatGPT TTPs:
do not use without manual check
T1068, T1105, T1210, T1027, T1055, T1112

IOCs:
File: 11
Registry: 2
Hash: 8
Domain: 1
IP: 1

Soft:
Windows Service, Windows Firewall, Chrome, Firefox, Outlook, SQL Server Management Studio, Active Directory

Algorithms:
xor, aes-256-cbc, aes-128-cbc, rc4, sha384, sha1, des, rsa-2048, aes, aes-192-cbc, 3des, sha256

Functions:
ESET

Win API:
NtWriteVirtualMemory, NtProtectVirtualMemory, NtCreateThreadEx

#ParsedReport #ExtractedSchema

Classified images:
windows: 12, schema: 17, chart: 1, dump: 3, code: 3, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - об эволюции и деятельности хакерской группы Earth Kasha, в частности, об их недавней кампании с 2023 по начало 2024 года, нацеленной на Японию, Тайвань и Индию. Группа расширила свои цели, включив в них крупные организации в сфере передовых технологий и государственного сектора, используя обновленные тактики, методы и процедуры (TTP), а также различные бэкдоры, такие как Cobalt Strike, LODEINFO и NOOPDOOR. Кроме того, в тексте обсуждаются потенциальные связи между Earth Kasha и другими хакерскими группами, такими как APT10 и Earth Tengshe, подчеркивается необходимость использования организациями информации об угрозах для упреждающей защиты от возникающих киберугроз и навигации по сложному ландшафту взаимоотношений хакеров.
-----

LODEINFO - это разновидность вредоносного ПО, используемая в кибератаках, нацеленных в основном на Японию, начиная с 2019 года группой, известной как Earth Kasha.

Связь между LODEINFO и APT10 предполагается, но не имеет убедительных доказательств; APT10 и Earth Kasha считаются отдельными объектами, хотя и потенциально связанными.

Недавно Earth Kasha расширила свои цели, включив в них Японию, Тайвань и Индию, сосредоточив внимание на передовых технологиях и правительственных учреждениях.

В недавней кампании Earth Kasha использовала такие бэкдоры, как Cobalt Strike, LODEINFO и новый бэкдор под названием NOOPDOOR, который обладает уникальными возможностями, такими как шифрование RSA и загрузка дополнительных модулей.

Анализ выявил сходство и потенциальное сотрудничество между Earth Kasha, Earth Tengshe и APT10 с точки зрения TTP и общих ресурсов.

Trend Micro предлагает аналитические отчеты и информацию об угрозах, которые помогают организациям активно защищаться от возникающих угроз, что позволяет предположить возможное совпадение между недавней кампанией LODEINFO и предыдущими мероприятиями Earth Kasha и APT10.

Расшифровка C2-протокола Spectre RAT

https://research.openanalysis.net/spectreops/config/strings/cpp/2024/11/21/spectre-ops.html

#technique

Lateral Movement on macOS: Unique and Popular Techniques and In-the-Wild Examples

https://unit42.paloaltonetworks.com/unique-popular-techniques-lateral-movement-macos/

#ParsedReport #CompletenessLow
21-11-2024

DarkPeony s Trail: Certificate Patterns Point to Sustained Campaign Infrastructure

https://hunt.io/blog/darkpeony-certificate-patterns

Report completeness: Low

Actors/Campaigns:
Darkpeony (motivation: cyber_espionage)

Threats:
Plugx_rat

Industry:
Government, Military

Geo:
Serbia, Mongolia, Hong kong, Singapore, Myanmar, Philippines, Great britain, Chinese

ChatGPT TTPs:
do not use without manual check
T1071, T1027, T1583, T1587.001, T1203

IOCs:
Domain: 7
IP: 8
File: 1
Hash: 15

Algorithms:
aes, sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте обсуждается идентификация подозрительных сертификатов SSL/TLS и инфраструктуры, связанных с группой кибершпионажа DarkPeony, с акцентом на использование ими вредоносного ПО PlugX и тактик, таких как шифрование, шаблоны регистрации доменов и использование законных сервисов, таких как CloudFlare, для уклонения от обнаружения аналитиками безопасности. В анализе подчеркиваются постоянные усилия DarkPeony по сокрытию своих вредоносных действий и содержится рекомендация командам безопасности отслеживать индикаторы, чтобы активно нарушать их работу.
-----

В недавнем сообщении в блоге говорилось о выявлении подозрительных сертификатов SSL/TLS, связанных с подозрительными узлами управления PlugX (C2), с повторяющимся использованием "AES" в поле "Организационное подразделение". Кроме того, в той же инфраструктуре были обнаружены еще два подозрительных сертификата, связанных с доменами, которые, вероятно, были связаны с загрузкой вредоносного ПО или взаимодействием с ним. Эти данные, наряду со схемой регистрации доменов, тесно связаны с инфраструктурой, ранее связанной с DarkPeony, китайской группой кибершпионажа, известной своей деятельностью в отношении правительственных и военных организаций.

Было замечено, что DarkPeony внедряет вредоносное ПО PlugX в кампании, нацеленные на организации в различных странах, таких как Мьянма, Филиппины, Монголия и Сербия. Группа в основном использует поставщиков инфраструктуры в Гонконге, в частности CTG Server Ltd. и ChangLian Network Technology Co. NameCheap и NameSilo используются для регистрации доменов, в то время как серверы имен CloudFlare используются для сокрытия активности от исследователей. IP-адрес, привязанный к домену buyinginfo.org, известный как сервер PlugX C2, стал основным объектом исследования инфраструктуры DarkPeony.

В ходе анализа были выявлены три важных сертификата, относящихся к серверу, связанному с buyinginfo.org: два сертификата CloudFlare и один от TrustAsia Technologies, Inc. Сертификаты, полученные в ходе предыдущих расследований, выявили кластер из пяти серверов, которые, как подозревается, были вовлечены в деятельность PlugX, и каждый из которых использовал сертификаты с обозначением "AES" в поле "Организационное подразделение", что потенциально может служить маркером инфраструктуры участника. Использование хорошо известных сервисов, таких как CloudFlare, может усложнить анализ, смешивая вредоносную инфраструктуру с легитимной, что затрудняет идентификацию аналитиками безопасности.

Дальнейшее изучение дополнительных серверов, подключенных к DarkPeony, выявило IP-адреса, размещенные организациями в разных регионах, таких как Великобритания, Сингапур и Гонконг. В то время как некоторые серверы продолжали использовать сертификаты AES и защиту CloudFlare, другие отошли от этой тенденции, используя различные типы сертификатов, которые обычно ассоциируются с хакерами, внедряющими вредоносные программы, такие как PlugX.

В исследовании подчеркивается, что DarkPeony продолжает использовать тактику регистрации сертификатов и доменов для сокрытия вредоносных действий с помощью законных сервисов. Использование хакерами сертификатов wildcard и защиты CloudFlare помогает скрывать IP-адреса и облегчает передачу вредоносных программ, что затрудняет эффективное отслеживание их действий. Командам безопасности рекомендуется отслеживать подобные показатели, чтобы заблаговременно выявлять появляющуюся инфраструктуру и пресекать деятельность DarkPeony на более ранней стадии.

#ParsedReport #CompletenessLow
21-11-2024

Russia-Aligned TAG-110 Targets Asia and Europe with HATVIBE and CHERRYSPY

https://www.recordedfuture.com/research/russia-aligned-tag-110-targets-asia-and-europe

Report completeness: Low

Actors/Campaigns:
Fancy_bear (motivation: cyber_espionage)
Ghostwriter

Threats:
Hatvibe
Cherryspy

Victims:
Government entities, Human rights groups, Educational institutions

Industry:
Military, Government

Geo:
Russia, Asia, Moscow, Ukraine, Kyrgyzstan, Russian, Asian, Uzbekistan, Kazakhstan

CVEs:
CVE-2024-23692 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rejetto http file server (le2.3m)


ChatGPT TTPs:
do not use without manual check
T1566, T1190, T1140, T1505.003, T1573

IOCs:
File: 1

Algorithms:
aes, xor

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в выявлении и анализе продолжающейся кампании кибершпионажа, проводимой хакерской группой TAG-110, связанной с Россией и, возможно, с BlueDelta (APT28). Эта кампания нацелена на организации в Центральной Азии, Восточной Азии и Европе, в первую очередь на государственные структуры, правозащитные группы и образовательные учреждения. TAG-110 использует пользовательские вредоносные программы HATVIBE и CHERRYSPY для утечки данных и шпионажа с целью сбора разведданных о геополитических событиях и поддержания влияния России на постсоветском пространстве. В тексте также подчеркивается важность защиты от подобных угроз путем мониторинга признаков компрометации, внедрения правил обнаружения, исправления уязвимостей и повышения осведомленности сотрудников об угрозах.
-----

TAG-110, идентифицированная хакерская группировка, связанная с Россией, проводит постоянную кампанию кибершпионажа, нацеленную на организации в Центральной Азии, Восточной Азии и Европе.

Группа использует пользовательские вредоносные программы под названием HATVIBE и CHERRYSPY для борьбы с государственными структурами, правозащитными группами и образовательными учреждениями.

Тактика TAG-110 аналогична историческим действиям, связанным с UAC-0063, связанной с российской APT-группой BlueDelta (APT28).

Кампания затронула 62 жертвы в одиннадцати странах, при этом о серьезных инцидентах сообщалось в Казахстане, Кыргызстане и Узбекистане.

HATVIBE служит загрузчиком для развертывания CHERRYSPY, бэкдора на Python, используемого для утечки данных и шпионажа.

CHERRYSPY обеспечивает безопасную фильтрацию данных с помощью таких методов шифрования, как RSA и AES, ориентируясь на государственные и исследовательские организации.

Деятельность TAG-110 способствует достижению геополитических целей России в Центральной Азии по сохранению влияния в условиях напряженных отношений.

Защита от TAG-110 включает мониторинг IOCs, внедрение правил обнаружения, таких как Snort и YARA, исправление уязвимостей, повышение осведомленности сотрудников об угрозах и использование интеллектуальных инструментов для повышения безопасности.

Ожидается, что TAG-110 продолжит кампании кибершпионажа в постсоветских государствах Центральной Азии, Украине и ее союзниках.

#ParsedReport #CompletenessLow
21-11-2024

Differential analysis raises red flags over @lottiefiles/lottie-player

https://www.reversinglabs.com/blog/differential-analysis-raises-red-flags-over-lottiefiles/lottie-player

Report completeness: Low

Threats:
Supply_chain_technique
Typosquatting_technique

Industry:
E-commerce

ChatGPT TTPs:
do not use without manual check
T1071.003, T1557

IOCs:
File: 2
Hash: 3

Soft:
VSCode, NuGet, Windows certificate, Telegram

Crypto:
bitcoin

Links:
https://github.com/LottieFiles/lottie-player/issues/254

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея:.
В тексте рассказывается о том, как исследовательская группа ReversingLabs отслеживает общедоступные хранилища на предмет потенциального вредоносного ПО, которое может привести к атакам на цепочки поставок. В нем освещаются недавние инциденты, когда законные пакеты были скомпрометированы с целью использования вредоносных программ, подчеркивается важность обнаружения и предотвращения атак на цепочки поставок, а также даются рекомендации по безопасной разработке и бдительности в отношении злоумышленников.
-----

Исследовательская группа ReversingLabs проводит мониторинг общедоступных репозиториев, таких как npm, PyPI, VSCode Marketplace, RubyGems и NuGet, на предмет выявления потенциальных вредоносных программ, которые могут привести к атакам на цепочки поставок. Вредоносные пакеты часто публикуются новыми учетными записями, которые иногда маскируются, чтобы казаться заслуживающими доверия, имитируя популярные пакеты или выпуская безобидные версии перед внедрением вредоносных программ. Команда наблюдала случаи, когда старые вредоносные кампании появлялись с новыми пакетами.

В ходе недавних инцидентов законные пакеты, такие как ua-parser-js и @ledgerhq/connect-kit на npm, были скомпрометированы для использования вредоносного ПО и кражи активов крипто-кошелька. Другой случай был связан с популярным пакетом @lottiefiles/lottie-player, который имел три версии (2.0.5, 2.0.6, 2.0.7), зараженным вредоносным кодом, нацеленным на активы криптокошелька. Скомпрометированные версии были быстро удалены из npm, и были опубликованы чистые версии.

Злоумышленники изменили пакет @lottiefiles/lottie-player, заменив код в файле lottie-player.js вредоносным кодом. Анализ различий между последней версией, не содержащей вредоносных программ (2.0.4), и вредоносной версией (2.0.7) выявил изменения, в том числе различия в размере файла, отсутствие обычных действий и введение новых действий, связанных с сервисами обмена биткойнов. Были запущены политики поиска угроз, направленные на обнаружение атак в цепочке поставок программного обеспечения, что подчеркивает важность мониторинга подозрительного поведения.

Атаки на цепочки поставок, подобные атаке на @lottiefiles/lottie-player, выявляют риски, связанные с вредоносными пакетами, даже в установленных базах кода. Методы безопасной разработки, такие как привязка зависимостей к заведомо исправным версиям, могут снизить эти риски. Регулярные оценки безопасности имеют решающее значение для проверки целостности библиотек с открытым исходным кодом и обеспечения бесперебойности процесса сборки, чтобы предотвратить включение вредоносных зависимостей.

Разработчикам необходимо сохранять бдительность в отношении меняющихся тактик, используемых злоумышленниками, и проводить тщательную оценку безопасности для защиты от атак на цепочки поставок и внедрения вредоносного кода. Регулярные обновления зависимостей и тщательный мониторинг общедоступных репозиториев необходимы для снижения рисков и поддержания безопасности процессов разработки программного обеспечения.

#ParsedReport #CompletenessLow
22-11-2024

NodeStealer s Evolution: A Growing Threat to Facebook Accounts and Beyond

https://socradar.io/nodestealer-threat-to-facebook-accounts-and-beyond

Report completeness: Low

Threats:
Nodestealer

Victims:
Facebook ads manager accounts, Individual users and organizations

Industry:
E-commerce, Petroleum

Geo:
Vietnamese

ChatGPT TTPs:
do not use without manual check
T1176, T1539

IOCs:
Hash: 19

Soft:
Google Chrome, Bitwarden, Telegram

Algorithms:
md5, sha1, sha256

Languages:
javascript, python

Links:
https://github.com/netskopeoss/NetskopeThreatLabsIOCs/blob/main/Malware/Python%20Nodestealer/IOCs/2024-11-19/README.md

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что NodeStealer, инфокрад на базе Python, эволюционировал с расширенными возможностями, создавая значительную угрозу кибербезопасности. Оно нацелено на аккаунты Facebook Ads Manager, информацию о кредитных картах и сохраненные в браузере данные, демонстрируя повышенную изощренность и адаптивность. Вредоносное ПО, созданное вьетнамскими хакерами, использует легальные инструменты и платформы, чтобы избежать обнаружения. Организациям рекомендуется принимать упреждающие меры для эффективной борьбы с такими угрозами, как NodeStealer, и другими развивающимися киберугрозами.
-----

NodeStealer, инфокрад на базе Python, обновился с расширенными возможностями, ориентируясь на аккаунты Facebook Ads Manager, информацию о кредитных картах и данные, хранящиеся в браузере, такие как учетные данные и файлы cookie.

Последняя версия NodeStealer, появившаяся в ноябре 2024 года, демонстрирует усовершенствования, в том числе нацеливание финансовых данных на вредоносные рекламные кампании и использование диспетчера перезапуска Windows для эффективной кражи данных.

Кампании NodeStealer включают в себя верифицированные аккаунты Facebook, распространяющие вредоносную рекламу поддельного расширения Google Chrome, что приводит к компрометации личных данных и финансовым потерям.

Последние версии NodeStealer связаны с вьетнамскими хакерами, которые фильтруют данные через Telegram, чтобы избежать обнаружения и повысить эффективность.

Для борьбы с такими угрозами, как NodeStealer, организации могут применять упреждающие меры, такие как обучение сотрудников распознаванию фишинга, проведение симуляций и использование таких инструментов, как "Темный веб-мониторинг" от SOCRadar, для раннего обнаружения угроз и защиты бренда.

Развивающаяся тактика NodeStealer подчеркивает важность постоянного информирования, внедрения надежных мер безопасности и упреждающего мониторинга для эффективной защиты от подобных киберугроз.

#ParsedReport #CompletenessMedium
21-11-2024

Lumma Stealer on the Rise: How Telegram Channels Are Fueling Malware Proliferation

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/lumma-stealer-on-the-rise-how-telegram-channels-are-fueling-malware-proliferation

Report completeness: Medium

Threats:
Lumma_stealer
Process_injection_technique

Geo:
India, Usa

ChatGPT TTPs:
do not use without manual check
T1204.002, T1036.005, T1055.001, T1027, T1071.001, T1140, T1057

IOCs:
Url: 11
File: 6
Hash: 24

Soft:
Telegram, steam, Photoshop, Valorant, Microsoft Office, TradingView

Algorithms:
base64

Functions:
Second

Win API:
LoadLibraryExW, WinHttpOpenRequest

#ParsedReport #GeneratedSchema
Generated with GPT-4