#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Salt Typhoon, опытный хакер, нацелился на телекоммуникационные компании США, используя кражу учетных данных и методы "жизни за пределами страны". Они манипулируют конфигурациями устройств Cisco и используют специальный инструмент JumbledPath для скрытой утечки данных. Cisco рекомендует усилить меры безопасности, включая отключение ненужных служб и внедрение политики надежных паролей.
-----

Компания Cisco Talos сообщила о продолжающихся кампаниях по вторжению в телекоммуникационные компании США, которые, как утверждается, были совершены опытным хакером, известным как Salt Typhoon. Эти атаки позволили хакеру получить доступ к базовой сетевой инфраструктуре, что позволило собрать обширную информацию. Примечательно, что только один случай подтвердил использование конкретной уязвимости Cisco (CVE-2018-0171), в то время как большинство инцидентов были связаны с получением хакером законных учетных данных для входа в систему.

Salt Typhoon продемонстрировал длительную устойчивость, сохранив доступ к оборудованию различных поставщиков, причем один случай свидетельствовал о более чем трехлетнем необнаруженном присутствии в сети. Злоумышленник в значительной степени полагался на методы "живого взаимодействия", используя существующее программное обеспечение и конфигурации, чтобы избежать обнаружения и действовать скрытно в целевых средах. Большинство рассмотренных инцидентов не включали обнаружение новых уязвимостей Cisco. Хотя поступали заявления о злоупотреблении тремя другими известными уязвимостями Cisco, никаких существенных доказательств в поддержку этих утверждений найдено не было.

Тактика вредоносного ПО, применяемая Salt Typhoon, включала в себя переключение со скомпрометированных устройств в рамках одной телекоммуникационной сети на другие, используя эти исходные точки в основном для утечки данных. Хакер манипулировал конфигурациями устройств, особенно теми, которые связаны с Bash и Guest Shell, виртуальной средой на базе Linux на устройствах Cisco, позволяя выполнять команды Linux. Они создали несанкционированные SSH-серверы на высоких портах для обеспечения постоянного доступа, а также изменили учетные записи системных пользователей для дальнейшего повышения привилегий.

Важным инструментом в их арсенале является пользовательская утилита под названием JumbledPath, которая позволяет удаленно перехватывать пакеты через взломанное устройство, устанавливая ряд соединений, определенных участниками. Этот инструмент, написанный на Go и скомпилированный в виде двоичного файла ELF, предназначен для сокрытия исходного источника запроса и конечного пункта назначения. Он помогает хакеру работать незамеченным в сетях нескольких поставщиков, что было подтверждено его присутствием на скомпрометированных устройствах Cisco Nexus.

Что касается защитных мер, Cisco рекомендует организациям отключать ненужные службы, которые могут подвергать оборудование угрозам, включая незашифрованный веб-сервер и доступ по Telnet. Решающее значение имеет использование SSH для всех протоколов управления, отключение гостевой консоли, если это не требуется, и внедрение обновленных и сложных политик паролей. Организациям настоятельно рекомендуется следовать строгим протоколам безопасности, которые включают частое обновление систем, разделение сетей и использование многофакторной аутентификации в точках доступа.

В ходе этого мониторинга появились дополнительные сообщения об атаках с использованием функции Smart Install со ссылками на CVE-2018-0171. Однако, похоже, что эти действия не связаны с кампанией Salt Typhoon и не связаны с известным хакером. Следовательно, это подчеркивает необходимость исправления известных уязвимостей и защиты даже некритичных устройств, чтобы они не могли использоваться в качестве шлюзов для доступа к более критичным системам.

#ParsedReport #CompletenessMedium
20-02-2025

LightSpy Expands Command List to Include Social Media Platforms

https://hunt.io/blog/lightspy-malware-targets-facebook-instagram

Report completeness: Medium

Threats:
Lightspy
Watering_hole_technique
Deepdata

Victims:
Facebook, Instagram, Telegram, Qq, Wechat, Whatsapp, Line

Geo:
Hong kong

ChatGPT TTPs:
do not use without manual check
T1189, T1190, T1071

IOCs:
IP: 24
Url: 6
Hash: 19
File: 5
Domain: 1
Path: 4

Soft:
macOS, Linux, Instagram, Telegram, WeChat, WhatsApp, Android, Google Play

Algorithms:
md5

Platforms:
x64, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
LightSpy - это мультиплатформенная вредоносная программа, известная своей изменяющейся тактикой уклонения от обнаружения и нацеленная на социальные сети, в частности Facebook и Instagram, с более чем 100 командами для извлечения данных. Ее инфраструктура включает активные IP-адреса, что указывает на возможности постоянного наблюдения и контроля, особенно в системах iOS и Windows. Аналитики подчеркивают необходимость усиления мер безопасности для борьбы с этой растущей угрозой.
-----

LightSpy - это сложная вредоносная программа, о которой впервые стало известно в 2020 году, известная своими широкими возможностями таргетинга на нескольких платформах, включая мобильные устройства, Windows, macOS, Linux и маршрутизаторы. Первоначально было замечено, что это вредоносное ПО внедряется с помощью тактики "полива" и доставки на основе эксплойтов, но оно продемонстрировало стойкость, часто изменяя свою инфраструктуру, чтобы избежать обнаружения. В период его активности произошли значительные изменения, включая значительное расширение списка команд, в частности, в отношении платформ социальных сетей, таких как Facebook и Instagram.

Недавние анализы показывают, что LightSpy обновил свой командный функционал до более чем 100 команд, расширив свой операционный контроль за пределы простого сбора данных. Компания внедрила функции, позволяющие управлять передачами и отслеживать версии плагинов. Facebook Instagram. WeChat заметно сместил акцент с приложений для обмена сообщениями, таких как Telegram и WeChat, на активное извлечение данных из баз данных Facebook и Instagram. Это расширение позволяет злоумышленникам собирать личные сообщения, списки контактов и метаданные учетных записей с широко используемых платформ, что потенциально может привести к расширению возможностей для наблюдения и использования.

Инфраструктура, связанная с LightSpy, постоянно отслеживалась, в результате чего были получены активные IP-адреса, в том числе те, которые были выявлены в ходе предыдущих исследований различных вариантов LightSpy. Например, серверы, связанные с LightSpy, в частности 149.104.18.80, содержали конфигурации, которые указывали на сложность его работы и возможности. Взаимодействие с этими серверами позволило получить доступные метаданные, относящиеся к ядру вредоносного ПО, с указанием даты его развертывания и методов проверки целостности с помощью хэшей MD5. Примечательной особенностью конечных точек является многократное использование /963852741, с помощью которого можно получить доступ к подробным ответам о плагинах и аспектах их работы.

Детальное исследование серверов LightSpy выявило отсутствие подключаемых модулей для Linux, Android или macOS, что указывает на то, что основными целями недавних операций были системы iOS и Windows. Панели администратора, размещенные на определенных IP-адресах, предоставляют операторам возможность управлять скомпрометированными системами и выполнять команды, выявляя закономерности действий оператора с помощью различных процессов аутентификации. Возможность отслеживания взаимодействий LightSpy с помощью ответов сервера и поведения при выполнении команд подчеркивает важность бдительности в области кибербезопасности.

Продолжающееся развитие возможностей LightSpy свидетельствует о том, что его операторы совершенствуют свои методологии сбора данных и наблюдения за системами. Современные рекомендации по снижению рисков, связанных с такими вредоносными программами, включают ограничение разрешений для приложений, использование расширенных функций безопасности на устройствах и проведение тщательной проверки системных журналов для выявления любых прошлых заражений, связанных с LightSpy. Постоянно адаптируясь к изменениям в методах работы LightSpy, аналитики стремятся усовершенствовать стратегии обнаружения и защиты от этого постоянно развивающегося хакера.

#ParsedReport #CompletenessMedium
20-02-2025

Demystifying PKT and Monero Cryptocurrency deployed on MSSQL servers

https://www.seqrite.com/blog/pkt-monero-mining-mssql-malware/

Report completeness: Medium

Threats:
Packet_crypt_tool
Quickheal
Lolbin_technique
Xmrig_miner
Themida_tool
Ghanarava

Industry:
Financial, E-commerce

ChatGPT TTPs:
do not use without manual check
T1190, T1218.007, T1059.001, T1027, T1036.005, T1496

IOCs:
File: 17
Url: 3
IP: 1
Hash: 6

Soft:
MSSQL

Crypto:
monero, bitcoin

Algorithms:
randomx, base64, exhibit

Functions:
isRunning, kill

Win Services:
WebClient

Languages:
rust, powershell

Links:
https://github.com/cjdelisle/packetcrypt\_rs

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, table: 1, dump: 1, code: 5, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
число хакеров, занимающихся несанкционированным майнингом криптовалют PKT Classic и Monero, увеличилось, при этом злоумышленники используют уязвимости SQL Server для удаленного выполнения кода. Злоумышленники внедряют вредоносные инструменты для майнинга, потребляющие большие ресурсы процессора, а также используют методы для маскировки и распределения полезной нагрузки. Организациям настоятельно рекомендуется усилить защиту с помощью обновлений программного обеспечения, политики строгого использования паролей и мониторинга ресурсов.
-----

Недавние наблюдения Seqrite Lab выявили тенденцию к росту числа хакеров, занимающихся добычей криптовалют, особенно в PKT Classic и Monero. PKT Classic использует алгоритм проверки работоспособности (PoW), известный как PacketCrypt, который позволяет майнерам использовать неиспользуемую пропускную способность Интернета, а не просто вычислительные мощности для майнинга, что отражает его цель - создать децентрализованный рынок пропускной способности. Злоумышленники используют уязвимости, особенно в системах SQL Server, для развертывания операций интеллектуального анализа данных без согласия пользователя.

В январе 2025 года был зафиксирован инцидент, когда операция в командной строке была выполнена через sqlserver.exe, что указывает на потенциальный компромисс, который позволил удаленно выполнить код. Расследование показало, что злоумышленники использовали легальную утилиту Windows “certutil” для загрузки инструмента майнинга PacketCrypt на взломанные устройства. Для майнинга валюты PKT требуются такие параметры конфигурации, как адрес кошелька и URL пула майнинга, которые могут быть легко использованы злоумышленниками.

Анализ инструмента майнинга показал, что он был разработан в RUST и стал общедоступным через репозиторий GitHub, связанный с Калебом, основателем блокчейна PKT cash. Злоумышленники создали исполняемый файл (.exe) и разместили его на указанном IP-адресе, замаскировав под изображение для удобства распространения. Процесс майнинга был признан ресурсоемким, и сообщалось, что процесс "pkt.exe" потребляет до 99% ресурсов центрального процессора, что серьезно снижает производительность системы и приводит к поломке оборудования.

Злоумышленники также нацелились на Monero, используя программное обеспечение для майнинга XMRIG. Они использовали уязвимости системы для выполнения сценариев PowerShell, которые загружали вредоносную полезную нагрузку, скрытую с помощью защиты Themida, чтобы избежать обнаружения. При запуске эти файлы пытались использовать для майнинга Monero, но часто терпели неудачу из-за отсутствия файлов конфигурации, что, вероятно, перенаправляло жертв на ресурсы, которые помогли бы им настроить программное обеспечение для майнинга.

Атака продемонстрировала многоступенчатый подход с использованием общедоступных инструментов и сценариев, подчеркнув уязвимость систем из-за слабых учетных данных и других уязвимых мест. Продолжающиеся операции по майнингу продемонстрировали значительное несанкционированное использование системных ресурсов злоумышленниками с целью получения прибыли.

Для борьбы с такими угрозами организациям рекомендуется принять ряд защитных мер. Регулярные обновления программного обеспечения имеют решающее значение для устранения уязвимостей, а внедрение многофакторной аутентификации, такой как CAPTCHA, может предотвратить попытки несанкционированного доступа. Необходимо применять строгие правила использования паролей, а также отдавать приоритет эффективным антивирусным решениям, оснащенным возможностями сканирования в режиме реального времени. Ограничение административных привилегий и активный мониторинг использования ресурсов могут помочь выявить признаки криптомайнинга, тем самым укрепляя защиту организации от возникающих угроз.

#ParsedReport #CompletenessLow
20-02-2025

SecTopRAT bundled in Chrome installer distributed via Google Ads

https://www.malwarebytes.com/blog/cybercrime/2025/02/sectoprat-bundled-in-chrome-installer-distributed-via-google-ads

Report completeness: Low

Threats:
Sectop_rat

ChatGPT TTPs:
do not use without manual check
T1204, T1562.001, T1055, T1071.001

IOCs:
File: 3
Url: 4
Path: 1
IP: 1
Domain: 2
Hash: 2

Soft:
Chrome, Google Chrome, Windows Defender, waterfox, Firefox, Grammarly

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, code: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники используют рекламу Google для распространения вредоносного ПО SecTopRAT с помощью мошеннического установщика Chrome, используя тактику обмана, чтобы избежать обнаружения. Вредоносное ПО взаимодействует с внешним сервером и может извлекать конфиденциальные данные, маскируясь под законное программное обеспечение.
-----

Киберпреступники используют рекламу Google для распространения вредоносного ПО, вводя пользователей в заблуждение и заставляя их загружать мошенническую версию браузера Google Chrome. В этой кампании используется страница-посредник, размещенная на сайтах Google, что очень напоминает более ранние попытки фишинга с использованием учетных данных учетной записи Google. Когда пользователи ищут "скачать Google Chrome", рекламное объявление перенаправляет их на этот вредоносный сайт, где в качестве законного установщика Chrome предлагается исполняемый файл.

При подключении к этому исполняемому файлу, помеченному как GoogleChrome.exe, устанавливается соединение с hxxps://launchapps.site/getCode.php, где вредоносная программа получает дальнейшие инструкции по эксплуатации. Установщик пытается запустить программу с правами администратора для выполнения действий, требующих повышенных прав. Важный шаг включает в себя команду PowerShell, предназначенную для создания исключения в каталоге %appdata%\Roaming, что эффективно предотвращает обнаружение вредоносного ПО защитником Windows в процессе его извлечения.

После запуска вредоносная программа помещает файл с именем decrypted.exe в каталог %\AppData%\Roaming\BackupWin\, который распаковывает настоящую полезную нагрузку, waterfox.exe. Этот исполняемый файл маскируется под законный браузер Waterfox, тем самым добавляя еще один уровень обмана. Затем вредоносная программа внедряет свой вредоносный код в легитимный процесс MSBuild.exe, устанавливая связь с сервером управления атакующими, расположенным по IP-адресу 45.141.84.208. Извлеченная вредоносная программа идентифицирована как SecTopRAT, троянец удаленного доступа, обладающий возможностями для утечки конфиденциальной информации.

В качестве дополнительной тактики обмана поддельный установщик завершает загрузку и установку подлинного браузера Google Chrome, гарантируя, что жертвы не будут знать о лежащем в его основе компрометирующем средстве. Этот инцидент выявил критическую уязвимость в цепочке поставок программного обеспечения, когда скомпрометированная реклама Google служит источником распространения вредоносного ПО, используя доверие пользователей к поисковой системе. Принятые меры безопасности, такие как Malwarebytes Browser Guard и Premium Security Antivirus, были эффективны в блокировании вредоносной рекламы и обнаружении вредоносной полезной нагрузки, однако кампания подчеркивает постоянные угрозы, исходящие от злоумышленников, способных манипулировать надежными платформами в неблаговидных целях.

#ParsedReport #CompletenessMedium
21-02-2025

Fake DeepSeek Site Infects Mac Users with Poseidon Stealer

https://www.esentire.com/blog/fake-deepseek-site-infects-mac-users-with-poseidon-stealer

Report completeness: Medium

Actors/Campaigns:
Rodrigo4

Threats:
Poseidon
Meteor_wiper
Clickfix_technique

Victims:
Mac users

Industry:
Entertainment, Financial

ChatGPT TTPs:
do not use without manual check
T1059.002, T1059.004, T1189, T1497.001, T1005, T1041

IOCs:
Coin: 19
Domain: 2
Url: 1

Soft:
DeepSeek, Bitwarden, Telegram, Mac OS, GateKeeper, macOS, Firefox, Ledger Live, curl, Chromium, have more...

Wallets:
aptos_wallet, finnie, bitfinity_wallet, zilpay, kardiachain, cyano, hycon, xverse_wallet, abc_wallet, solflare_wallet, have more...

Crypto:
bitcoin, ethereum, tezos, casper, solana, monero, dogecoin

Algorithms:
zip, exhibit, base64

Functions:
ptrace, sysctl, getpid, system

Languages:
applescript

Platforms:
apple

Links:
https://github.com/eSentire/iocs/blob/main/PoseidonStealer/PoseidonStealer-2-12-2025.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Poseidon Stealer - это новая вредоносная программа, нацеленная на macOS и использующая для заражения AppleScript через osascript. Она собирает конфиденциальные данные браузера и продается в Telegram, используя тактику защиты от отладки и фишинговые методы для сбора учетных данных, избегая обнаружения.
-----

В начале февраля 2025 года была обнаружена новая вредоносная программа, известная как Poseidon Stealer, использующая команду osascript для выполнения AppleScript в рамках процесса заражения. Эта вредоносная программа продается в Telegram как вредоносная программа как услуга, доступная за абонентскую плату в размере 3000 долларов в месяц. Poseidon Stealer в первую очередь нацелен на конфиденциальную информацию, хранящуюся в веб-браузерах Chromium и Firefox, с целью извлечения таких данных, как данные кредитной карты, пароли, закладки и информация о криптовалютном кошельке.

Цепочка заражения начинается с того, что пользователь перенаправляется на поддельный веб-сайт, который очень похож на законный сайт. Это приводит к загрузке файла DMG, содержащего вредоносный сценарий оболочки. Когда скрипт запускается в терминале, он запускает загрузку и выполнение двоичного файла Poseidon Stealer. Чтобы обойти исследователей и меры безопасности, вредоносная программа оснащена функциями защиты от отладки, используя системный вызов ptrace() для определения того, выполняется ли ее отладка. Если он идентифицирует известные имена пользователей исследователя безопасности, он завершает работу, чтобы предотвратить дальнейший анализ.

Poseidon Stealer выполняет обширный сбор данных, включая учетные данные пользователя, файлы cookie, конфиденциальные файлы и системную информацию. Затем украденные данные упаковываются в zip-архив и отправляются на сервер управления (C2). Примечательно, что вредоносная программа включает в себя механизм фишинга, при котором пользователю предлагается ввести свои учетные данные для входа в систему. Если введена неверная информация, вредоносная программа будет повторно запрашивать пароль, что увеличивает шансы на успешный сбор учетных данных.

Атака, продемонстрированная Poseidon Stealer, подчеркивает постоянную угрозу, исходящую от пользователей macOS, в частности, с помощью обманчивых методов, которые используют доверие пользователей к законным веб-сервисам. Внедрение такого вредоносного ПО подчеркивает важность бдительности и упреждающих мер безопасности для защиты от изощренных фишинговых атак и попыток утечки данных.

#ParsedReport #CompletenessHigh
20-02-2025

Weak Passwords Led to (SafePay) RansomwareYet Again

https://www.nccgroup.com/us/research-blog/weak-passwords-led-to-safepay-ransomware-yet-again/

Report completeness: High

Threats:
Safepay
Screenconnect_tool
Qdoor
Upx_tool
Runpe_tool
Process_hollowing_technique
Blacksuit_ransomware
Credential_dumping_technique
Shadow_copies_delete_technique

Geo:
Belarusian, Azerbaijani, Georgian, Russian, Ukrainian

TTPs:
Tactics: 8
Technics: 14

IOCs:
Path: 3
IP: 1
File: 2
Command: 1
Hash: 3
Email: 2
Url: 1

Soft:
Windows Service, Microsoft Defender, bcdedit

Wallets:
safepay

Algorithms:
ecdh, sha1, chacha20, sha256, curve25519

Win API:
DllRegisterServer, DllUnregisterServer, CryptGenRandom

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель SafePay использовала неправильно настроенный брандмауэр Fortigate для обхода MFA, используя слабые пароли для доступа администратора домена. Злоумышленники внедрили бэкдор (QDoor) и использовали пакетные файлы для распространения программы-вымогателя, которая шифровала файлы с помощью ChaCha20, оставляя заметки и воздействуя на гипервизоры. Дизайн программы-вымогателя предполагает географический таргетинг и потенциальное уклонение от обнаружения, что указывает на сложную операцию.
-----

Недавний инцидент с программой-вымогателем SafePay, расследованный командой цифровой криминалистики и реагирования на инциденты (DFIR) NCC Group, выявил критические уязвимости, используемые хакерами. Злоумышленники получили доступ через неправильно настроенный брандмауэр Fortigate, который позволял локальным учетным записям обходить требования многофакторной аутентификации (MFA). Эта неправильная настройка в сочетании с использованием ненадежных паролей позволила хакерам пройти аутентификацию от имени администратора домена и скомпрометировать среду. Злоумышленники использовали устройство, связанное с инфраструктурой виртуального частного сервера Vultr, что свидетельствует о сложном планировании и исполнении.

Получив доступ, хакеры приступили к различным действиям, включая внедрение механизмов сохранения данных. Они создали службу, связанную с ScreenConnect, приложением удаленного доступа, которое, вероятно, служило для поддержания доступа к скомпрометированным системам. Кроме того, был обнаружен вредоносный файл с именем soc.dll, который функционирует как бэкдор QDoor. Этот файл был упакован с использованием Upx-программы с открытым исходным кодом, чтобы скрыть его содержимое. Работа бэкдора была инициирована с помощью средства командной строки Windows regsvr32, позволяющего хакеру выполнять код под прикрытием законных системных процессов с помощью метода "опустошения процесса".

После получения постоянного доступа злоумышленники использовали пакетные файлы для взаимодействия с серверами и общими файловыми ресурсами, а затем выполняли процесс шифрования с использованием двоичного кода программы-вымогателя, идентифицированного как 1.exe. Вредоносные пакетные файлы были разработаны для рассылки этой программы-вымогателя на многочисленные серверы без разбора. Шифровальщик использовал ChaCha20, симметричный алгоритм шифрования, для уникального шифрования файлов для каждого отдельного файла. Зашифрованные файлы были переименованы с расширением .safepay, а в конструкцию программы-вымогателя была встроена проверка для определения языка системы, что эффективно предотвращало запуск в русскоязычных странах, что могло свидетельствовать о географических предпочтениях хакеров.

Программа-вымогатель использовала несколько команд, которые отключали механизмы восстановления и функциональные возможности, которые могли повлиять на ее выполнение. Файлы шифровались блоками, определяемыми конкретными аргументами командной строки, при этом анализ образца позволил предположить, что использовался механизм частичного шифрования. Этот процесс включал в себя генерацию пар открытых и закрытых ключей, используемых для защиты зашифрованных файлов, а также хэшей проверки для обеспечения целостности при расшифровке.

Сообщения о требовании выкупа, оставленные на зараженных системах, подтвердили, что атака была совершена группой программ-вымогателей SafePay. Примечательно, что программа-вымогатель также шифровала гипервизоры, что делало виртуальные машины неэффективными и распространяло воздействие атаки не только на отдельные файлы. Хотя сравнение с известными разновидностями программ-вымогателей, такими как Blacksuit, выявило незначительное сходство кода, расследование не смогло однозначно отнести программу-вымогателя к какой-либо известной хакерской группе, оставляя открытой возможность того, что она представляет собой новый вариант или полностью переписана, чтобы избежать обнаружения.

#ParsedReport #CompletenessMedium
20-02-2025

Bloody Wolf evolution: newtargets,newtools

https://bi.zone/eng/expertise/blog/evolyutsiya-bloody-wolf-novye-tseli-novye-sredstva-ataki/

Report completeness: Medium

Actors/Campaigns:
Bloody_wolf

Threats:
Strrat
Netsupportmanager_rat
Spear-phishing_technique
Dead_drop_technique

Geo:
Kazakhstan, Russian, Russia

TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 4
Url: 2
Path: 4
Hash: 4
Domain: 7

Soft:
Telegram

Functions:
getFileUrlsFromPastebin

Languages:
java

#ParsedReport #ExtractedSchema

Classified images:
code: 4, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4