#ParsedReport #ExtractedSchema

Classified images:
windows: 7, schema: 1, code: 9

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинговая кампания Storm-1575, использующая платформу PhaaS "Dadsec", использует методы AiTM и содержит ссылки на платформу Tycoon2FA. Атака использует автоматизированный сбор учетных данных, обход MFA и продвинутые методы обфускации, нацеливаясь на жертв в основном с помощью ложных электронных писем Microsoft 365. Использование схожей инфраструктуры и кода предполагает прямую адаптацию между платформами, что подчеркивает эволюционный характер онлайн-угроз.
-----

С сентября 2023 года наблюдается масштабная фишинговая кампания, приписываемая хакерской группе Storm-1575. Эта группа разработала платформу "Фишинг как услуга" (PhaaS) под названием "Dadsec", которая использует методы "противника посередине" (AiTM). Недавние расследования выявили связь инфраструктуры Dadsec с другой новой кампанией, использующей платформу Tycoon2FA PhaaS. Эта связь указывает на общую операционную структуру, поскольку обе платформы имеют множество сходств и настраиваемых функций, расширяющих их возможности по борьбе с фишингом.

Фишинговый набор Tycoon2FA использует удобные интерфейсы с функциями автоматизации и быстро распространяется с момента своего создания в августе 2023 года. При анализе Tycoon2FA исследователи выявили отличительные особенности кодирования и структуры фишинговых наборов, что позволяет предположить их прямое происхождение или адаптацию с платформы Dadsec. Последние кампании свидетельствуют о развертывании тысяч фишинговых страниц, размещенных в инфраструктуре, обладающей постоянными характеристиками, включая использование уникальных ресурсов PHP (например, "res444.php") для доставки вредоносной полезной нагрузки.

Фишинговые атаки обычно начинаются с электронных писем, содержащих приманки, направляющие жертв на мошеннические сайты по сбору учетных данных Microsoft 365. Эти сайты используют URL-адреса, которые преобразуются в общий набор IP-адресов, один из которых, в частности, связан с NETWORK-SOLUTIONS-HOSTING (AS19871). Фишинговые наборы реализуют несколько методов уклонения, в том числе пользовательские вызовы турникета Cloudflare для установления личности пользователя с последующей загрузкой запутанного JavaScript, предназначенного для отслеживания взаимодействия с пользователем и извлечения учетных данных в режиме реального времени.

Платформа Tycoon2FA является еще более совершенной, благодаря возможности обхода многофакторной аутентификации (MFA). Она перехватывает сессионные файлы cookie в процессе аутентификации, позволяя злоумышленникам сохранять несанкционированный доступ даже после того, как жертвы изменили свои учетные данные. Фишинговые страницы часто используют JavaScript для динамического манипулирования контентом на основе пользовательского ввода, включая предварительное заполнение адресов электронной почты для повышения достоверности атаки. Чтобы избежать анализа, в наборе используются методы обфускации, такие как шифр Цезаря и кодировка Base64, что значительно усложняет обнаружение.

Кроме того, стратегия фишинга отражает сильные принципы социальной инженерии. В фишинговых электронных письмах часто используются темы, связанные с финансами или предупреждениями о безопасности, чтобы заставить жертву ввести свои учетные данные. В рамках этого набора JavaScript управляет взаимодействием с внутренними серверами, отправляя зашифрованные пользовательские данные и собирая ценную информацию о жертвах, такую как сведения о геолокации и типах браузеров.

Анализ работы Tycoon2FA выявил хорошо скоординированные усилия по использованию уязвимостей в доверии пользователей с использованием различных тактик для повышения эффективности попыток фишинга. Продолжающееся развитие платформ PhaaS, таких как Tycoon2FA, отражает все более сложный хакерский ландшафт, который требует постоянной бдительности, усовершенствованных систем обнаружения и совместных усилий в области кибербезопасности для снижения рисков, связанных с этими угрозами.

#ParsedReport #CompletenessLow
28-05-2025

DragonForce actors target SimpleHelp vulnerabilities to attack MSP, customers

https://news.sophos.com/en-us/2025/05/27/dragonforce-actors-target-simplehelp-vulnerabilities-to-attack-msp-customers/

Report completeness: Low

Actors/Campaigns:
Dragonforce (motivation: financially_motivated)
0ktapus

Threats:
Simplehelp_tool
Supply_chain_technique
Msp_remote_tool
Dragonforce_ransomware
Ransomhub

Victims:
Managed service provider, Retail chains, Multiple organizations, Clients

Industry:
Retail

CVEs:
CVE-2024-57728 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- simple-help simplehelp (<5.5.8)

CVE-2024-57726 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- simple-help simplehelp (<5.5.8)

CVE-2024-57727 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- simple-help simplehelp (<5.5.8)


ChatGPT TTPs:
do not use without manual check
T1078, T1082, T1219, T1486, T1490

IOCs:
Hash: 1

Links:
https://github.com/sophoslabs/IoCs/blob/master/2505%20DragonForce%20targets%20SimpleHelp%20RMM.csv

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленник воспользовался инструментом SimpleHelp RMM компании MSP для развертывания программы-вымогателя DragonForce, используя стратегию двойного вымогательства при утечке конфиденциальных данных. Несмотря на то, что некоторые клиенты пострадали от серьезных последствий, надлежащая защита конечных точек заблокировала атаку по крайней мере для одной жертвы.
-----

В недавнем инциденте, о котором сообщила Sophos, злоумышленник использовал инструмент удаленного мониторинга и управления (RMM) SimpleHelp от поставщика управляемых услуг (MSP) для проведения атаки на несколько организаций. Это нарушение позволило хакеру внедрить программу-вымогатель DragonForce и получить доступ к конфиденциальным данным, используя стратегию двойного вымогательства, чтобы заставить жертв заплатить выкуп. DragonForce, которая является относительно новой в мире угроз, классифицируется как сложная программа-вымогатель как услуга (RaaS), появившаяся в середине 2023 года. Компания провела ребрендинг, чтобы зарекомендовать себя как "картель", внедрила распределенную партнерскую модель для привлечения более широкого круга партнеров и участвовала в значительных атаках, в частности, на крупные розничные сети в Великобритании и США.

Атака была инициирована, когда Sophos MDR был предупрежден о наличии подозрительного установочного файла SimpleHelp. Этот установщик был развернут с помощью законного экземпляра SimpleHelp, который MSP использовал для своих клиентов. Используя свой доступ с помощью инструмента RMM, злоумышленник смог собрать обширную информацию из различных клиентских сетей, управляемых MSP, включая конфигурации устройств и сведения о пользователях. Примечательно, что у одного из пострадавших клиентов была установлена система Sophos XDR endpoint protection, которая объединяла возможности поведенческого анализа и обнаружения вредоносных программ, что позволяло блокировать программы-вымогатели и предотвращать попытки двойного вымогательства. Действия Sophos MDR привели к закрытию доступа злоумышленника, что обеспечило критическую защиту от программ-вымогателей в сети этого клиента.

Однако MSP и другие клиенты, которые не пользовались услугами Sophos MDR, пострадали от серьезных последствий атаки программ-вымогателей и утечки данных. После инцидента MSP обратилась за помощью в компанию Sophos Rapid Response для цифровой криминалистики и реагирования на инциденты, чтобы справиться с последствиями атаки. Этот инцидент выявил уязвимости, связанные со взломом инструментов RMM, а также эффективность надежных решений для защиты конечных точек в смягчении последствий изощренных атак программ-вымогателей.

#cyberthreattech

Коллеги, кто пользуется CTT Downloader, перенесите, пожалуйста, запуск выгрузки нового фида на временной интервал, начиная с 05:00 МСК.
У нас сдвинулось время формирования 24 часового дампа :(

#ParsedReport #CompletenessMedium
29-05-2025

Cybercriminals camouflaging threats as AI tool installers

https://blog.talosintelligence.com/fake-ai-tool-installers/

Report completeness: Medium

Threats:
Lucky_ghost
Cyberlock
Numero
Chaos_ransomware
Yashma
Seo_poisoning_technique
Powershell_ransomware
Lolbin_technique
Shadow_copies_delete_technique
Scylla

Geo:
Africa, Asia, Russian, Palestine, Ukraine

ChatGPT TTPs:
do not use without manual check
T1005, T1036.005, T1053.005, T1059.001, T1082, T1112, T1204.002, T1486, T1490, T1491, have more...

IOCs:
Domain: 1
File: 8
Email: 1

Soft:
Telegram, chatgpt, Microsoft Office, Android, Visual Studio, Windows shell

Crypto:
monero

Algorithms:
zipx, zip, aes, rsa-2048, aes-256

Functions:
GetConsoleWindow, ReadMeNow

Win API:
ShowWindow, GetDesktopWindow, EnumChildWindows, SendMessageW

Languages:
java, cscript, postscript, csharp, powershell, lua

Platforms:
x64

Links:
https://github.com/Cisco-Talos/IOCs/blob/main/2025/05/

#ParsedReport #ExtractedSchema

Classified images:
chats: 1, code: 7, schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Cisco Talos сообщает о появлении программ-вымогателей, таких как CyberLock и Lucky_Gh0$t, которые маскируются под инструменты искусственного интеллекта. CyberLock шифрует файлы с помощью AES, требует оплаты в Monero и использует психологические манипуляции и методы уклонения, в то время как Lucky_Gh0$t использует AES и RSA, нацеливаясь на файлы размером менее 1,2 ГБ и скрывая более крупные. Кроме того, вредоносная программа Numero выдает себя за видео-инструмент с искусственным интеллектом, постоянно устанавливается и портит графический интерфейс Windows, используя продвинутую тактику уклонения.
-----

Cisco Talos выявила несколько новых хакеров, особое внимание которых уделяется различным вариантам программ-вымогателей и недавно разработанным вредоносным программам, которые маскируются под законные установки инструментов искусственного интеллекта. Программа-вымогатель CyberLock работает с использованием PowerShell и в первую очередь нацелена на шифрование определенных файлов в системах жертв. Он передает свое требование о выкупе с помощью обманного подхода, утверждая, что доходы от выплаты выкупа пойдут на финансирование гуманитарных усилий в нескольких регионах, включая Палестину и Украину. CyberLock шифрует целевые файлы с помощью AES, добавляя файлу расширение .cyberlock, а также применяя тактику психологических манипуляций, чтобы внушить страх жертвам и потребовать выплаты в размере 50 000 долларов США в Monero (XMR).

Программа-вымогатель, которая действует с февраля 2025 года, использует методы, позволяющие скрыть свои действия в операционной системе. Ему удается повысить свои привилегии, перечислить файлы на нескольких логических разделах и создать сообщение о требовании выкупа на рабочем столе пользователя, а также изменить обои для отображения изображения из блога по кибербезопасности, предположительно, в рамках своей стратегии запугивания. Примечательно, что это включает в себя методику "жизни вне земли", предполагающую использование двоичного файла для стирания следов своей деятельности на жестком диске жертвы.

Аналогичным образом, программа-вымогатель Lucky_Gh0$t распространяется в виде самораспаковывающегося ZIP-файла, маскирующегося под законный установщик искусственного интеллекта. Этот вариант, который является частью семейства программ-вымогателей Yashma, использует различные методы обхода, чтобы избежать обнаружения, и фокусирует свои процессы шифрования на файлах размером менее 1,2 ГБ, используя комбинацию шифрования AES и RSA. Для файлов, размер которых превышает этот порог, Lucky_Gh0$t демонстрирует деструктивное поведение, создавая новый файл, который скрывает исходный.

Также была обнаружена новая вредоносная программа под названием "Numero", которая имитирует программы установки видео с искусственным интеллектом. Эта вредоносная программа работает путем удаления различных вредоносных компонентов, когда пользователь пытается установить то, что, по его мнению, является законным приложением. Это проявляется в виде непрерывного цикла, при котором для постоянного запуска вредоносной программы используются пакетные файлы, при этом элементы графического интерфейса Windows на рабочем столе жертвы повреждаются, что делает ее непригодной для использования. Numero использует передовые методы обхода для обнаружения средств отладки и анализа, расширяя свои возможности скрытности.

Ситуация с угрозами подчеркивает растущую изощренность и устойчивость хакеров, наживающихся на растущем интересе к решениям на основе искусственного интеллекта. Организации в таких секторах, как маркетинг и технологии, подвергаются особой атаке, что требует принятия строгих мер по проверке источников программного обеспечения для снижения рисков, связанных с этими злоумышленниками.

#ParsedReport #CompletenessHigh
29-05-2025

Pakistan Telecommunication Company (PTCL) Targeted by Bitter APT During Heightened Regional Conflict

https://blog.eclecticiq.com/pakistan-telecommunication-company-ptcl-targeted-by-bitter-apt-during-heightened-regional-conflict

Report completeness: High

Actors/Campaigns:
Bitter (motivation: cyber_espionage, sabotage)
Sindoor

Threats:
Spear-phishing_technique
Wmrat
Stealc
Lolbin_technique
Supply_chain_technique

Victims:
Pakistan telecommunication company limited, Counter terrorism department, Turkish defence-sector organization

Industry:
Telco, Military, Government

Geo:
Turkish, Pakistani, Pakistan, Asian, India

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036.004, T1059.001, T1059.003, T1071.001, T1078, T1105, T1113, T1140, have more...

IOCs:
File: 8
Url: 1
Registry: 1
Domain: 3
IP: 2
Hash: 3

Soft:
Microsoft Office, curl, Windows Registry, Internet Explorer

Algorithms:
base64, xor

Languages:
powershell, php

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, windows: 3, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
7 мая 2025 года Bitter APT атаковал сотрудников пакистанской телекоммуникационной компании с помощью фишинговой кампании, используя вредоносное ПО, доставляемое через файлы IQY и макросы Excel, используя украденные учетные данные электронной почты. Вариант WmRAT обеспечивал постоянный доступ и эксфильтрацию данных, что совпало с военной напряженностью в целях сбора разведданных о телекоммуникационном секторе Пакистана.
-----

7 мая 2025 года, во время обострения военной напряженности между Пакистаном и Индией, аналитики EclecticIQ сообщили, что хакер Bitter APT (также известный как TA397) инициировал фишинговую кампанию, направленную против сотрудников Пакистанской телекоммуникационной компании Limited (PTCL). Кампания, вероятно, направленная на шпионаж, включала в себя рассылку вредоносного ПО через скомпрометированные учетные данные электронной почты, полученные от Управления по борьбе с терроризмом Пакистана (CTD). Bitter APT, по оценкам, является спонсируемым государством субъектом из Южной Азии, участвующим в кибероперациях по краже государственных секретов.

Фишинговые электронные письма были нацелены на ответственные должности в PTCL, включая инженеров инфраструктуры 5G и руководителей проектов. Вложением к вредоносному электронному письму был файл Интернет-запроса (IQY), в котором использовался макрос Excel для выполнения команды Windows, которая загружала и запускала вариант WmRAT. Подключение к серверу управления, связанному с Bitter APT, способствовало последующей вредоносной деятельности. Время проведения этой целенаправленной кампании совпало с обострением военной ситуации, что свидетельствует о намерении проникнуть в телекоммуникационный сектор Пакистана в условиях региональной нестабильности.

Предполагалось, что первоначальный доступ к учетной записи электронной почты CTD был получен с помощью украденных учетных данных с компьютера, зараженного StealC infostealer, который был взломан после того, как пользователь загрузил пиратское программное обеспечение. Взлом обеспечил постоянный доступ к критически важной системе электронной почты правоохранительных органов, что позволило злоумышленникам отслеживать переписку и создавать убедительные фишинговые электронные письма.

Вредоносный файл IQY использовал законные функциональные возможности Microsoft Office, обходя механизмы обнаружения и запуская системные процессы с помощью сценариев командной строки. Он использовал двоичный файл Windows curl.exe для загрузки вредоносного скрипта BAT, который преобразовал полезную нагрузку в исполняемый файл, замаскированный под файл PNG. После запуска вариант WmRAT установил постоянный доступ посредством внесения изменений в реестр, что позволило вредоносному ПО автоматически запускаться при запуске системы.

Версия WmRAT продемонстрировала различные возможности, включая фильтрацию файлов, выполнение команд с помощью CMD или PowerShell, а также сбор пользовательской информации и системных данных. В конечном итоге вредоносная программа связалась со своим сервером управления по протоколу HTTPS, используя обманчивые пути URI, чтобы скрыть свои истинные намерения. Такое поведение указывает на изощренный подход к предотвращению обнаружения при получении конфиденциальных данных и поддержании скрытого оперативного присутствия.

В свете этого вторжения, вероятные мотивы Bitter APT связаны со сбором стратегической разведывательной информации, которая может включать в себя перехват сообщений и картирование уязвимостей инфраструктуры телекоммуникаций Пакистана. Детальное понимание цепочек поставок и инфраструктуры связи, полученное в результате этой операции, позволяет хакерам рассчитывать на дальнейшую эскалацию военных действий. Осведомленность о конкретных типах файлов, связанных с этой угрозой, таких как файлы IQY, и мониторинг сетевой активности по этим показателям имеют решающее значение для защиты кибербезопасности от потенциальных будущих атак со стороны аналогичных субъектов, спонсируемых государством.

#ParsedReport #CompletenessHigh
29-05-2025

Chasing Eddies: New Rust-based InfoStealer used in CAPTCHAcampaigns

https://www.elastic.co/security-labs/eddiestealer

Report completeness: High

Threats:
Eddiestealer
Ghostpulse
Unicorn_tool
Api_obfuscation_technique
Latrodectus
Deskshare_tool
Chromekatz_tool
Cookiekatz_tool
Cookiemonster
Credentialkatz_tool

TTPs:
Tactics: 7
Technics: 0

IOCs:
File: 15
Url: 1
Hash: 18
IP: 2
Domain: 5

Soft:
Microsoft Edge, Google Chrome, Mozilla Firefox, Bitwarden, 1Password, KeePass, FTPbox, FTPGetter, Total Commander, Telegram, have more...

Wallets:
wassabi, mainnet, coinomi, electrum, exodus_wallet, dashcore, electron_cash, guarda_wallet

Crypto:
bitcoin

Algorithms:
sha256, aes, cbc, xor, base64, exhibit

Functions:
GetModuleFileName, FindPattern

Win API:
WaitOnAddress, WakeByAddressAll, LoadLibrary, GetProcAddress, CreateFileW, SetFileInformationByHandle, DeleteFile, GetFileSizeEx, ReadFile, CloseHandle, have more...

Languages:
rust, javascript, powershell, cscript

Platforms:
x86

YARA: Found

Links:
https://github.com/ben-sb/javascript-deobfuscator
have more...
https://github.com/cocomelonc/2023-04-16-malware-av-evasion-16/blob/ba05e209e079c2e339c67797b5a563a2e4dc0106/hack.cpp#L75
https://github.com/N0fix/rustbinsign

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2, code: 29

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
EDDIESTEALER - это инфокрад на базе Rust, предназначенный для Windows, распространяемый с помощью поддельных схем проверки с помощью CAPTCHA. Он использует социальную инженерию и вредоносные скрипты PowerShell для кражи учетных данных и информации о криптовалюте, обмениваясь данными со своим сервером C2 через трафик, отличный от HTTPS. Вредоносная программа использует передовые методы уклонения, включая шифрование строк, пользовательский механизм API и метод самоудаления, что затрудняет реверс-инжиниринг.
-----

Elastic Security Labs подробно описала новый инфокрад EDDIESTEALER, который разработан с использованием Rust и распространяется с помощью поддельных кампаний по проверке капчи. Этот инфокрад нацелен на системы Windows, используя тактику социальной инженерии, чтобы побудить пользователей выполнить вредоносный сценарий PowerShell с помощью вводящих в заблуждение страниц проверки CAPTCHA. Выполнение этого скрипта приводит к развертыванию EDDIESTEALER, позволяющего ему собирать конфиденциальную информацию, такую как учетные данные и данные криптовалютного кошелька. Вредоносное ПО размещается на сайтах, контролируемых злоумышленниками, что расширяет его охват.

Процесс проникновения начинается с вредоносной полезной нагрузки JavaScript, которая имитирует законные действия с использованием CAPTCHA, предлагая жертвам выполнить команду PowerShell, которая впоследствии извлекает исполняемый файл EDDIESTEALER с сервера злоумышленника. После выполнения EDDIESTEALER связывается со своим сервером управления (C2) для получения списка задач, который определяет, на какие данные следует ориентироваться. Это взаимодействие осуществляется через HTTP с характерной схемой множественных запросов POST, которые могут быть легко идентифицированы из-за отсутствия HTTPS.

EDDIESTEALER включает в себя несколько современных стратегий обхода безопасности. Он использует пользовательский механизм для вызовов API, реализует хэш-таблицу для оптимизации разрешения функций и выполняет базовые проверки среды, чтобы избежать обнаружения изолированными средами. Вредоносная программа также использует метод самоудаления с помощью альтернативных потоков данных NTFS для обхода активных блокировок файлов, что еще больше запутывает ее присутствие.

Конструкция infostealer предусматривает шифрование строк простым XOR-шифром, что требует сложных методов обратного проектирования для анализа. В нем реализована процедура отложенной инициализации для безопасного управления общими ресурсами и используются синхронизированные методы для обеспечения потокобезопасности. Коммуникационная стратегия C2 претерпела изменения, включив встроенную логику сбора системной информации и выполнения задач, причем все это управляется в зашифрованном формате.

Что касается функциональности вредоносного ПО, EDDIESTEALER имитирует методы кражи учетных данных, которые использовались в предыдущих инструментах, особенно при взаимодействии с браузером. Он может создать безголовый экземпляр Chrome для взаимодействия с менеджером паролей браузера, позволяя получать учетные данные в виде открытого текста после их загрузки в память путем доступа к внутренним функциям браузера. Использование инфокрадом жестко закодированных ключей шифрования для обмена данными означает прогресс в обходе защитных мер и повышении операционной устойчивости.

Кроме того, аналитические материалы Elastic Security Labs включают методы анализа и отслеживания двоичных файлов Rust, которые по своей сути являются более сложными, чем традиционные вредоносные программы на C/C++. Анализ выявил проблемы, связанные с обратным проектированием EDDIESTEALER из-за его зависимости от функций защиты памяти Rust и потенциальной возможности удаления метаданных, что усложняет отслеживаемость.

#ParsedReport #CompletenessHigh
29-05-2025

A Flyby on the CFO's Inbox: Spear-Phishing Campaign Targeting Financial Executives with NetBird Deployment

https://www.trellix.com/blogs/research/cfo-spear-phishing-netbird-attack

Report completeness: High

Threats:
Spear-phishing_technique
Netbird_tool
Uac_bypass_technique

Victims:
Cfos, Finance executives, Banks, Energy companies, Insurers, Investment firms, Executive-level employees in financial departments

Industry:
Financial, Energy, Semiconductor_industry

Geo:
South africa, Africa, Norway, Egypt, Canada, Saudi arabia, Korea, Middle east, France, Switzerland, Singapore, Brazil, Asia

TTPs:
Tactics: 6
Technics: 15

IOCs:
Url: 7
Path: 2
File: 7
Email: 1
IP: 1
Hash: 3
Command: 3
Registry: 1

Soft:
wireguard, OpenSSH, Cloudflare Turnstile, Windows Service

Algorithms:
zip, des

Functions:
Set-ItemProperty

Languages:
powershell, javascript