#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - подробный отчет о сложной кампании кибератак, проведенной хакером TA4557, связанной с деятельностью FIN6. В отчете описываются различные этапы атаки, инструменты и приемы, используемые хакерами, их тактика уклонения, стратегии нацеливания и признаки компрометации. В нем подчеркивается, что злоумышленник использует такие вредоносные инструменты, как more_eggs, Cobalt Strike и Pyramid C2, а также их способность использовать уязвимости, осуществлять боковые перемещения и предоставлять постоянный доступ к скомпрометированным серверам. Проведенный анализ подчеркивает важность постоянного мониторинга, обмена информацией об угрозах и создания правил обнаружения для усиления защиты от APT.
-----

хакер TA4557, связанный с активностью FIN6, провел сложную кампанию по вторжению, включающую многоэтапные атаки с использованием вредоносного ПО more_eggs.

Первоначальный доступ был получен с помощью приманки для возобновления работы, а для запуска вредоносного ПО использовались такие символы, как ie4uinit.exe и msxsl.exe.

Cobalt Strike и инструмент C2 на базе Python под названием Pyramid использовались для последующей эксплуатации.

CVE-2023-27532 был использован для компрометации сервера Veeam с целью горизонтального перемещения и повышения привилегий.

Cloudflared был установлен для туннелирования RDP-трафика.

Proofpoint отслеживает TA4557 с 2018 года, отмечая использование ими бэкдора more_eggs и приманок, связанных с кандидатами на работу.

Были использованы различные методы, такие как дополнительная загрузка вредоносного inf-файла, удаление вредоносной библиотеки DLL и настройка сохранения запланированных задач.

Хакер занимался разведкой сети, выполнял сценарии PowerShell, пытался туннелировать трафик через сервисы Cloudflare и извлекал учетные данные из базы данных Veeam.

Были выявлены методы MITRE ATT и CK, включая создание учетной записи, повышение привилегий, манипулирование файлами, разведку сети и туннелирование протоколов.

Для защиты от изощренных хакеров, подобных TA4557, были рекомендованы постоянный мониторинг, обмен информацией об угрозах и разработка правил обнаружения.

#ParsedReport #CompletenessMedium
02-12-2024

Analysis of the recent incident of APT-C-36 (Blind Eagle) forging judicial department documents and submitting DcRat backdoor

https://mp.weixin.qq.com/s/DDCCjhBjUTa7Ia4Hggsa1A

Report completeness: Medium

Actors/Campaigns:
Blindeagle

Threats:
Dcrat
Ande_loader
Amsi_bypass_technique
Double_kill_vuln
Double_star_vuln

Victims:
Government departments, Large companies

Industry:
Financial, Government

Geo:
Mexico, Spanish, Turkey, Panama, Ecuador, America, Colombia

ChatGPT TTPs:
do not use without manual check
T1566.001, T1027.002, T1059.005, T1055.001, T1027

IOCs:
File: 4
Domain: 1
Hash: 9
Url: 8

Algorithms:
base64, zip

Win Services:
bits

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 9

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в деятельности APT-группы APT-C-36 (Blind Eagle), нацеленной на испаноязычные регионы, такие как Колумбия, их тактике, включающей фишинговые электронные письма с поддельными судебными документами и использование вредоносных инструментов, таких как DcRat, для удаленного управления и кражи данных. Кроме того, в тексте освещаются усилия 360 Threat Intelligence Center и 360 Advanced Threat Research Institute по защите от современных угроз и их исследованию, особенно в контексте национальной сетевой безопасности.
-----

Аналитический центр 360 Threat Intelligence Center - это выдающаяся платформа для обмена информацией об угрозах, ее анализа и раннего предупреждения, использующая обширные хранилища данных о безопасности 360 Security Brain для получения высококачественной аналитической информации. APT-C-36, известная как Blind Eagle, является группировкой APT, которая, как предполагается, происходит из Южной Америки и нацелена на цели в Колумбии и других регионах, таких как Эквадор и Панама. Эта организация с 2018 года проводит целенаправленные атаки против государственных органов, финансового сектора, страховых компаний и крупных компаний Колумбии. Недавно APT-C-36 начал использовать сжатые пакеты UUE для создания поддельных судебных документов, отправляемых юридическим лицам в Колумбии, что привело к внедрению бэкдора DcRat на компьютерах жертв.

Злоумышленники используют фишинговые электронные письма, чтобы обманом заставить пользователей загружать вредоносные файлы, замаскированные под пакеты со сжатием UUE/ZIP, со сторонних облачных платформ. Эти пакеты содержат самораспаковывающиеся EXE-файлы с испанскими названиями, которые выдаются за законные судебные документы. После выполнения эти файлы запускают вредоносные программы для выполнения скриптов и запутанные файлы скриптов (суффикс WSF) в каталоге %TEMP%. Запутанные скрипты содержат специальные символы, которые заменяются для выполнения вредоносных команд, создавая постоянную запланированную задачу с именем "google Update2024 Tas". На следующем этапе используется скрипт sostener.vbs, который продолжает стиль APT-C-36 с запутанным кодом и загружает полезные файлы, такие как AndeLoader и DcRat.

DcRat, также известный как Dark Crystal RAT, представляет собой модульный троян для удаленного управления с открытым исходным кодом, который наблюдается с 2018 года. Он обладает гибкостью в развертывании различных вредоносных функций, таких как регистрация с клавиатуры, скриншоты, кража данных из буфера обмена и выполнение команд. Троянец стратегически выбирает тактику противодействия отладке, основанную на архитектуре системы. Методология атаки APT-C-36 заключается в использовании файлов-ложных сообщений с испанскими названиями, имитирующих документы Министерства юстиции, в соответствии с прошлыми действиями. Методы обфускации и последующая полезная нагрузка совпадают с предыдущей тактикой группы, нацеленной на испаноязычных людей и группы в таких регионах, как Колумбия, Мексика, Эквадор и Турция.

Организация APT-C-36 (Blind Eagle) продолжает совершенствовать свои инструменты и цепочки атак, расширяя свои целевые группы и совершенствуя стратегии атак. 360 Advanced Threat Research Institute, в состав которого входят старшие эксперты по безопасности в рамках 360 Government and Enterprise Security Group, играет жизненно важную роль в обнаружении, защите от, смягчении и исследовании продвинутых угроз. Институт внес значительный вклад в выявление атак нулевого дня по всему миру и раскрытие информации о передовых действиях многочисленных национальных организаций APT, поддерживая усилия 360 по обеспечению национальной сетевой безопасности. Опыт и достижения команды получили признание как в индустрии кибербезопасности, так и за ее пределами.

#ParsedReport #CompletenessLow
02-12-2024

Financially Motivated Threat Actor Leveraged Google Docs and Weebly Services to Target Telecom and Financial Sectors

https://blog.eclecticiq.com/financially-motivated-threat-actor-leveraged-google-docs-and-weebly-services-to-target-telecom-and-financial-sectors

Report completeness: Low

Threats:
Sim_swapping_technique
Credential_harvesting_technique

Victims:
Telecommunications, Financial, Security professionals

Industry:
Financial, Telco

Geo:
Canadian, Emea, Amer, Australian

ChatGPT TTPs:
do not use without manual check
T1566, T1566.002, T1078, T1110.003, T1027

IOCs:
Domain: 3
Url: 20
IP: 1

Soft:
Burp Suite

Functions:
AJAX

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея:.
Аналитики EclecticIQ обнаружили сложную фишинговую кампанию, нацеленную на телекоммуникационный и финансовый секторы, которая использовала Google Docs и Weebly для эффективного обхода мер безопасности. Хакеры адаптировали фишинговые приманки под конкретные бренды, использовали динамический DNS для ротации поддоменов, использовали тактику обхода многофакторной аутентификации и использовали законные инструменты отслеживания в своих фишинговых наборах для контроля эффективности. Злоумышленники также нацелились на специалистов по безопасности, использовали замену SIM-карты для несанкционированного доступа и централизовали свою инфраструктуру на Weebly, чтобы скрыть фишинговый контент на законной платформе. Для противодействия таким угрозам организациям рекомендуется применять расширенные меры безопасности и обучать пользователей распознавать попытки фишинга.
-----

В конце октября 2024 года аналитики EclecticIQ раскрыли сложную фишинговую кампанию, нацеленную на телекоммуникационный и финансовый секторы.

Злоумышленники использовали документы Google для рассылки фишинговых ссылок, что приводило жертв к поддельным страницам входа в Weebly, чтобы эффективно избежать обнаружения.

Злоумышленники сочли Weebly привлекательным благодаря удобному интерфейсу для размещения фишинговых страниц, а также использованию динамического DNS для смены поддоменов, что затрудняло обнаружение.

Фишинговые приманки были разработаны специально для телекоммуникационного и финансового секторов, имитируя такие сервисы, как AT&T и финансовые учреждения США/Канады.

Злоумышленники использовали тактику обхода MFA и законные инструменты отслеживания, такие как Sentry.io и Datadog, для отслеживания взаимодействия с жертвами для уточнения результатов кампании.

Фишинговая кампания включала страницы на тему PICUS, предназначенные для специалистов по безопасности в Google Docs.

Злоумышленники использовали замену SIM-карты для перехвата SMS-кодов MFA, что подчеркивает необходимость усиления мер безопасности.

Фишинговые наборы полностью имитировали законные порталы входа в систему, использовали функции развертывания Weebly и общие IP-адреса / домены для маскировки фишинговых действий.

Рекомендации включают внедрение передовых решений для фильтрации электронной почты, упреждающий мониторинг DNS, обязательную многофакторную аутентификацию, обучение пользователей распознаванию фишинга и раннее обнаружение артефактов, обнаруженных с помощью фишинговых наборов.

#ParsedReport #CompletenessLow
03-12-2024

Inside Akira Ransomware s Rust Experiment

https://research.checkpoint.com/2024/inside-akira-ransomwares-rust-experiment

Report completeness: Low

Threats:
Akira_ransomware
Pridelocker
Babuk
Ransomware.wins

ChatGPT TTPs:
do not use without manual check
T1059, T1083, T1486

IOCs:
File: 1
Hash: 1

Soft:
Linux, ESXi, unix

Wallets:
harmony_wallet

Algorithms:
sha256, sosemanuk, curve25519

Functions:
available_parallelism, args, next, args_os, quota, count_ones, FnOnce

Languages:
fortran, rust

Platforms:
cross-platform

Links:
https://github.com/rust-lang/rust/blob/b11fbfbf351b94c7eecf9e6749a4544a6d4717fa/library/std/src/sys/pal/unix/thread.rs#L309
https://github.com/rust-lang/rust/blob/db034cee00570a9b82ea8b9e9e95221dbd745698/library/std/src/env.rs#L756
have more...
https://github.com/rust-lang/rust/blob/db034cee00570a9b82ea8b9e9e95221dbd745698/library/std/src/sys/random/linux.rs#L134

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ Rust-версии программы-вымогателя Akira, нацеленной на серверы ESXi, с акцентом на идиомы Rust, стратегии компиляции, сложности ассемблерного кода, логику шифрования, стратегии проектирования, используемые авторами, проблемы при анализе двоичных файлов Rust и последствия применения методов антианализа.
-----

В тексте обсуждается анализ Rust-версии программы-вымогателя Akira, специально предназначенной для серверов ESXi. Анализ посвящен идиомам Rust, стратегиям компиляции и сложностям ассемблерного кода. В отчете излагаются принципы анализа двоичных файлов Rust и освещаются стратегии разработки, используемые авторами вредоносных программ.

Процесс управления программой-вымогателем включает в себя получение аргументов из командной строки, использование определенных функциональных возможностей Rust и использование библиотеки индикаторов для визуального представления статуса выполнения. Анализ кода вредоносного ПО выявляет сложные детали выбора дизайна и стратегий реализации, использованных авторами.

В тексте подчеркиваются сложности, с которыми приходится сталкиваться при анализе двоичных файлов Rust из-за агрессивного встраивания, а также проблемы, связанные с процессами оптимизации языка. В нем обсуждается интеграция сторонних библиотек, использование стандартного кода и применение методов антианализа, оставленных авторами вредоносных программ, экспериментирующими с Rust.

Логика шифрования вредоносной программы предполагает использование асимметричных и симметричных шифров, таких как curve25519 и SOSEMANUK, соответственно. Подробно описаны процесс шифрования, функции поиска файлов и генерация уведомлений о требовании выкупа, демонстрирующие возможности вредоносного ПО в отношении серверов ESXi и сред Linux.

Несмотря на высокую степень освоения Rust, его кроссплатформенная поддержка, эргономичность и доступность библиотек сделали его привлекательным языком для авторов вредоносных программ. Проведенный анализ подчеркивает необходимость в передовых инструментах для решения сложных задач, связанных с двоичными файлами Rust, особенно при работе с сегментами кода с глубокой встраиваемостью и сращиванием.

#ParsedReport #CompletenessMedium
03-12-2024

CrowdStrike Falcon Prevents Multiple Vulnerable Driver Attacks in Real-World Intrusion

https://www.crowdstrike.com/en-us/blog/falcon-prevents-vulnerable-driver-attacks-real-world-intrusion

Report completeness: Medium

Threats:
Byovd_technique
Edrkillshifter_tool
Robinhood
Gmer_tool
Mimikatz_tool

CVEs:
CVE-2018-19322 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- gigabyte aorus graphics engine (<1.57)
- gigabyte app center (le1.05.21)
- gigabyte oc guru ii (2.08)
- gigabyte xtreme gaming engine (<1.26)

CVE-2018-19321 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- gigabyte aorus graphics engine (<1.57)
- gigabyte app center (<19.0422.1)
- gigabyte oc guru ii (2.08)
- gigabyte xtreme gaming engine (<1.26)

CVE-2018-19320 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- gigabyte aorus graphics engine (<1.57)
- gigabyte app center (<19.0422.1)
- gigabyte oc guru ii (2.08)
- gigabyte xtreme gaming engine (<1.26)

CVE-2018-19323 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- gigabyte aorus graphics engine (<1.57)
- gigabyte gigabyte app center (le1.05.21)
- gigabyte oc guru ii (2.08)
- gigabyte xtreme gaming engine (<1.26)


ChatGPT TTPs:
do not use without manual check
T1562.001, T1562.001, T1105, T1021.001, T1218.011, T1106

IOCs:
File: 10
Path: 20
Registry: 1
Hash: 28

Soft:
Windows kernel, psexec, UNIX

Win API:
ZwTerminateProcess, WmiPrvSe

Languages:
powershell

Links:
https://github.com/gentilkiwi/mimikatz

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обсуждении атак с использованием собственных уязвимых драйверов (BYOVD) в области кибербезопасности, уделяя особое внимание злоумышленникам, использующим уязвимые драйверы ядра для обхода механизмов безопасности и получения глубокого доступа к операционной системе Windows, в частности, к продуктам обнаружения конечных точек и реагирования на них (EDR), таким как CrowdStrike Falcon sensor. В нем рассказывается о том, как злоумышленники используют уязвимые драйверы для выполнения привилегированных операций, обходят меры безопасности, такие как принудительное использование сигнатур драйверов, а также о важности комплексной телеметрии, разведывательных данных и передовых механизмов обнаружения для обнаружения и предотвращения таких атак. Кроме того, в тексте подчеркивается подход CrowdStrike к классификации и защите от злоупотреблений со стороны водителей, а также необходимость внедрения организациями таких функций, как "Предотвращение подозрительных процессов" и "Предотвращение загрузки драйверов", для усиления защиты от атак BYOVD.
-----

В тексте обсуждается растущая распространенность атак с использованием собственного уязвимого драйвера (BYOVD) в сфере кибербезопасности, особенно нацеленных на продукты обнаружения конечных точек и реагирования на них (EDR), такие как датчик CrowdStrike Falcon. Эти атаки связаны с тем, что злоумышленники загружают уязвимые драйверы ядра, чтобы обойти механизмы безопасности и получить глубокий доступ к операционной системе Windows.

Злоумышленники используют уязвимые драйверы для выполнения привилегированных операций, таких как отключение продуктов безопасности, обход защиты от несанкционированного доступа EDR или выполнение вредоносных действий, которые обычно не разрешаются системой. Несмотря на такие меры безопасности, как принудительное использование подписи драйвера (DSE), требующие цифровой подписи для загрузки драйвера, злоумышленники разработали стратегию BYOVD, позволяющую обойти эти меры защиты и использовать уязвимости драйвера в вредоносных целях.

В ходе конкретного инцидента злоумышленники попытались проникнуть в сеть компании, используя уязвимые драйверы и вредоносные двоичные файлы. Они пытались загрузить несколько известных уязвимых драйверов, таких как TfSysMon.sys и aswArPot.sys, для выполнения таких действий, как завершение защищенных процессов или повышение привилегий. Злоумышленники также использовали драйверы, которые можно использовать в качестве оружия, такие как ksapi64.sys, первоначально разработанные для законных целей, но перепрофилированные для вредоносных действий.

CrowdStrike классифицирует уязвимые драйверы на три категории: уязвимые, которые можно использовать в качестве оружия, и вредоносные. Уязвимые драйверы имеют программные недостатки, которые могут быть использованы, в то время как уязвимые драйверы могут быть использованы для вредоносных действий. Вредоносные драйверы, часто загружаемые вслед за уязвимым драйвером, выполняют такие действия, как отключение функций безопасности или сокрытие вредоносных процессов от средств обнаружения.

Для обнаружения и предотвращения атак BYOVD требуется комплексная телеметрия и аналитические данные для выявления новых уязвимых драйверов. В CrowdStrike работает команда инженеров-реинжинирингов, специализирующихся на уязвимых драйверах, для анализа и создания средств защиты от таких угроз. Внедрение таких функций, как "Предотвращение подозрительных процессов" и "Предотвращение загрузки драйверов" в Falcon Prevent, может повысить защиту от атак BYOVD, для чего требуется активная подписка и последняя версия датчика.

Используя передовые механизмы обнаружения и непрерывного мониторинга, организации могут усилить свою защиту от атак BYOVD и снизить риски, связанные с использованием вредоносных драйверов в своих сетях.

#ParsedReport #CompletenessLow
03-12-2024

Report on trends in phishing malware impersonating the National Tax Service

https://asec.ahnlab.com/ko/84912

Report completeness: Low

Threats:
Cloudeye
Loki_bot
Agent_tesla
Dll_hijacking_technique
Formbook
Remcos_rat
Xworm_rat

Victims:
National tax service users

Geo:
Korean

ChatGPT TTPs:
do not use without manual check
T1566.001, T1566.002, T1203, T1574.001, T1059.005, T1204.002, T1059.001, T1547.001, T1071.001

IOCs:
File: 5
Hash: 5

Soft:
NSIS installer

Algorithms:
md5

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте подчеркивается недавний всплеск фишинговых электронных писем, которые выдают себя за Национальную налоговую службу и нацелены на пользователей во время налоговых отчетных периодов, таких как отчетность по НДС. Эти электронные письма содержат вредоносный код во вложениях или ссылках на веб-сайты, часто используя DLL-файлы в сжатых форматах, замаскированные под настоящие файлы. Выявленная вредоносная программа XWorm способна выполнять различные вредоносные действия, включая мониторинг веб-камер и кейлоггинг. Злоумышленники также используют файлы CHM, содержащие вредоносные скрипты, которые автоматически запускаются, выдавая себя за законные файлы справки. Кампания направлена на то, чтобы использовать интерес пользователей в налоговые периоды, подчеркивая необходимость осторожности и повышения осведомленности пользователей для эффективного противодействия этим хакерам.
-----

В тексте обсуждается недавний рост числа фишинговых электронных писем, выдающих себя за Национальную налоговую службу, в отчетные периоды, например, за отчетный период по НДС. ASEC активно предупреждает пользователей об этих фишинговых электронных письмах, которые содержат вредоносный код либо во вложениях электронной почты, либо по гиперссылкам на веб-сайты. Электронные письма манипулируют адресами отправителей, чтобы казаться законными, и используют различные форматы файлов для вредоносных вложений. Известный метод заключается в использовании DLL-файлов в сжатых файлах с именами NTS_eTaxInvoice.zip, с замаскированными именами файлов, такими как NTS_eTaxInvoice.exe. При запуске эти файлы используют перехват DLL для выполнения вредоносных действий.

Вредоносная программа, идентифицированная в этих фишинговых письмах, называется XWorm и способна отслеживать веб-камеры, вести кейлоггинг, красть системную информацию и данные учетной записи пользователя. Другой метод атаки заключается в использовании вредоносных файлов CHM, замаскированных под обычные файлы справки, но содержащих вредоносные скрипты, которые автоматически запускаются при запуске. Эти файлы часто выдают себя за такие организации, как Национальная налоговая служба или финансовые компании, с именами файлов, такими как NTS_eTaxInvoice.chm. Скрипт внутри файлов CHM выполняет такие функции, как регистрация в реестре запуска, связь с сервером злоумышленника и загрузка дополнительного вредоносного ПО.

Эта фишинговая кампания использует интерес пользователей в налоговые периоды для обмана жертв. Подчеркивается, что пользователям следует быть осторожными, особенно в периоды уплаты налогов, поскольку злоумышленники могут отправлять электронные письма, выдавая их за законные рекомендации Национальной налоговой службы. В тексте содержатся технические подробности о характеристиках и методах этих фишинговых атак, призывающие пользователей к повышению осведомленности и бдительности для эффективной борьбы с хакерами.

#ParsedReport #CompletenessHigh
03-12-2024

Threat Assessment: Howling Scorpius (Akira Ransomware)

https://unit42.paloaltonetworks.com/threat-assessment-howling-scorpius-akira-ransomware

Report completeness: High

Actors/Campaigns:
Akira_ransomware (motivation: financially_motivated)

Threats:
Akira_ransomware
Lazagne_tool
Megazord
Mimikatz_tool
Spear-phishing_technique
Minidump_tool
Kerberoasting_technique
Netscan_tool
Zemana_tool
Rclone_tool
Shadow_copies_delete_technique

Victims:
Small to medium-sized businesses

Industry:
Retail, Healthcare, Education, Telco, Government

Geo:
America, Australia

CVEs:
CVE-2023-20269 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco adaptive security appliance software (6.2.3, 6.2.3.1, 6.2.3.2, 6.2.3.3, 6.2.3.4)

CVE-2020-3259 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco firepower threat defense (<6.2.3.16, <6.3.0.6, <6.4.0.9, <6.5.0.5)
- cisco adaptive security appliance software (<9.8.4.20, <9.9.2.67, <9.10.1.40, <9.12.3.9, <9.13.1.10)


TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 7
Command: 34
Hash: 44

Soft:
ESXi, Linux, Tor browser, PsExec, Active Directory, Windows Defender, WinSCP, ESXCLI, Telegram

Algorithms:
camellia, chacha20, aes, des, sha256

Win API:
arc

Win Services:
db2, IISADMIN, MSExchangeIS, MSExchangeSA, MSSQLServerADHelper100, QBCFMonitorService, QBVSS, SQLBrowser, SQLWriter, ShadowProtectSvc, have more...

Languages:
powershell, rust

Links:
https://github.com/PaloAltoNetworks/Unit42-timely-threat-intel/blob/main/2024-02-27-IOCs-for-Akira-Ransomware.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4