#ParsedReport #CompletenessMedium
02-06-2025

Attacker exploits misconfigured AI tool to run AI-generated payload

https://sysdig.com/blog/attacker-exploits-misconfigured-ai-tool-to-run-ai-generated-payload/

Report completeness: Medium

Threats:
Processhider
T-rex
Xmrig_miner

Victims:
Open webui users, Sysdig customer training system

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1036.005, T1059.006, T1071.001, T1078.001, T1105, T1140, T1176, T1190, have more...

IOCs:
File: 26
Url: 4
Coin: 2
IP: 1
Hash: 10

Soft:
Linux, Discord, ChatGPT, systemd, Chrome

Crypto:
monero, ravencoin

Algorithms:
base64, kawpow, xor, sha256

Functions:
kill_miners, boot, ProcessBuilder

Win API:
IsProcessorFeaturePresent, IsDebuggerPresent

Languages:
javascript, java, python, perl, powershell

Platforms:
cross-platform

Links:
https://github.com/open-webui/open-webui/blob/4ce1e88750c6da2f94b834697902ceb9f5524726/src/lib/components/workspace/Tools/ToolkitEditor.svelte#L50
https://github.com/htr-tech/PyObfuscate/tree/master

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, schema: 2, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники использовали неправильно настроенную открытую систему WebUI, предоставив несанкционированный доступ для выполнения вредоносных сценариев Python, созданных с помощью искусственного интеллекта, которые были нацелены на Linux и Windows. Вредоносная программа использовала криптоминеры (T-Rex, XMRig) и методы обфускации, в том числе веб-браузер Discord для C2, в то время как инфокрады были нацелены на кражу учетных данных. Атака подчеркнула необходимость многоуровневого обнаружения угроз для защиты от таких уязвимостей.
-----

Недавняя атака на неправильно сконфигурированную систему Open WebUI выявила значительные хакерские атаки, используемые злоумышленниками. Open WebUI, приложение с интерфейсом искусственного интеллекта, которое расширяет возможности large language models (LLM), было непреднамеренно размещено в Интернете, что позволило получить несанкционированный доступ с правами администратора из-за отсутствия аутентификации. Эта неправильная настройка позволила злоумышленникам загрузить и запустить вредоносный скрипт на Python, созданный с помощью искусственного интеллекта, используя открытые инструменты WebUI. Вредоносная полезная нагрузка была разработана для платформ Linux и Windows.

Злоумышленники вставили запутанный код на Python в открытый WebUI, который был тщательно закодирован с использованием метода, называемого "pyklump". После выполнения этот код в первую очередь был нацелен на загрузку криптоминеров, в частности T—Rex и XMRig, использующих методы обфускации для обхода механизмов обнаружения. В ходе атаки также использовался веб-интерфейс Discord для управления (C2), облегчающий фильтрацию данных с помощью структурированных полезных данных. Полезная нагрузка была специально нацелена на майнинг криптовалют Monero и Kawpow путем подключения к определенным пулам майнинга.

Для систем Linux вредоносный скрипт скомпилировал две встроенные программы на C, которые использовались для сокрытия процессов криптодобычи с помощью библиотеки processhider. Эта библиотека позволяла скрыть вредоносные действия от стандартных системных утилит, отфильтровав жестко заданное имя процесса "systemd". Кроме того, постоянство было достигнуто с помощью службы systemd, маскирующейся под законную службу с именем "ptorch_updater"..

На стороне Windows путь атаки расходился с функциональностью "start_miner", который не только инициировал процесс майнинга, но и установил Java Development Kit (JDK) для запуска вторичного вредоносного Java-приложения, загруженного с внешнего сервера. Этот загрузчик Java был разработан для поддержания дальнейшей вредоносной функциональности, избегая проверок безопасности с помощью флагов командной строки, которые отключают мониторинг и проверку.

Тактика хакеров включала в себя использование инфокрадов, способных красть учетные данные из веб-браузеров и коммуникационных платформ, таких как Discord. Пытаясь перехватить токены аутентификации Discord, злоумышленники использовали украденную информацию для дальнейшего проникновения в среду жертв. Этот сложный уровень атаки подчеркнул растущую тенденцию использования искусственного интеллекта и сложных методов написания сценариев для разработки более быстрого и эффективного вредоносного ПО.

Несмотря на сложный характер атаки, ее обнаружение было достигнуто благодаря решениям безопасности Sysdig, которые выявили множество угроз во время выполнения, включая создание вредоносных общих объектов и поиск подозрительных доменов. Этот инцидент подчеркнул, что случайные неправильные настройки, особенно в системах, подключенных к Интернету, представляют собой серьезные риски, что требует применения надежных многоуровневых стратегий обнаружения угроз для защиты от таких появляющихся хакеров.

#ParsedReport #CompletenessLow
02-06-2025

Malicious npm Packages Target BSC and Ethereum to Drain Crypto Wallets

https://socket.dev/blog/malicious-npm-packages-target-bsc-and-ethereum

Report completeness: Low

Threats:
Typosquatting_technique
Supply_chain_technique

Victims:
Cryptocurrency users

Industry:
Financial, Petroleum

Geo:
Russian

TTPs:

IOCs:
Email: 1
File: 11
Coin: 1

Soft:
Node.js, Outlook

Crypto:
ethereum

Functions:
getEnv, getNodeUrl, validateToken

Languages:
javascript

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Были идентифицированы четыре вредоносных пакета npm, нацеленных на пользователей Ethereum и Binance Smart Chain, предназначенных для утечки 80% средств на кошельках с использованием методов опечатывания. Скрипты оценивают баланс кошелька, переводят средства на адреса, контролируемые злоумышленниками, и включают элементы обфускации, чтобы ввести пользователей в заблуждение относительно их истинной цели.
-----

Недавно исследовательская группа Socket Threat обнаружила четыре вредоносных пакета npm, предназначенных для утечки до 85% средств на криптовалютных кошельках, специально предназначенных для пользователей Ethereum и Binance Smart Chain (BSC). Идентифицированные пакеты — pancake_uniswap_validators_utils_snipe, pancakeswap-oracle-prediction, ethereum-smart-contract и env-process — в совокупности получили более 2100 загрузок. Хакер, стоящий за этими пакетами, известный как @crypto-exploit, использовал стратегию, которая включала в себя опечатку законных пакетов, чтобы заманить ничего не подозревающих пользователей криптовалюты к загрузке вредоносного кода.

Вредоносный пакет pancake_uniswap_validators_utils_snipe, который был загружен 350 раз, был самым ранним из четырех пакетов, созданных злоумышленником, в то время как env-process - самым последним. Вредоносные скрипты предназначены для оценки общего баланса целевого кошелька и перевода указанной суммы — примерно 80% — на кошелек, контролируемый злоумышленником. Этот метод представляет собой заранее продуманную тактику, направленную на минимизацию обнаружения и обеспечение того, чтобы в кошельке жертвы оставалось достаточно средств для покрытия комиссионных за транзакции в блокчейне. Вредоносный скрипт содержит жестко запрограммированную логику, которая устанавливает контактный адрес для передачи, создает транзакцию и транслирует ее, используя закрытый ключ жертвы, если он был неправильно сохранен в качестве переменной среды.

В дополнение к эксплуататорскому поведению злоумышленник внедрил в свой код элементы запутывания и маскировки. Например, метод validateToken() используется в скриптах для обеспечения легитимной функциональности, что потенциально позволяет избежать подозрений. Аналогичным образом, пакет env-process был помечен за то, что он запутывал законный пакет Node.js process, который имеет решающее значение для обеспечения функциональности nextTick в средах без прямого доступа к Node.js.

Другой помеченный пакет, ethereum-smart-contract, нацелен на использование доверия пользователей, напоминая законный пакет ethereum-smart-contracts, который предоставляет доступ к функциональным возможностям смарт-контрактов. Здесь также постоянно используется известный вредоносный адрес Ethereum. Использование консольного входа в систему в этих сценариях, по-видимому, является преднамеренной тактикой для дальнейшей маскировки их злонамеренных намерений и имитации корректной работы.

#ParsedReport #CompletenessLow
03-06-2025

Malicious Ruby Gems Exfiltrate Telegram Tokens and Messages Following Vietnam Ban

https://socket.dev/blog/malicious-ruby-gems-exfiltrate-telegram-tokens-and-messages-following-vietnam-ban

Report completeness: Low

Threats:
Typosquatting_technique
Supply_chain_technique
Credential_stealing_technique

Victims:
Developers

Geo:
Vietnam, Vietnamese

TTPs:

IOCs:
Url: 3
Domain: 1

Soft:
Telegram

Functions:
Telegram

Languages:
ruby

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака на цепочку поставок, нацеленная на экосистему RubyGems, была связана с хакером, который опубликовал вредоносные программы, имитирующие легальные плагины Fastlane. Эти программы тайно передают данные через жестко запрограммированный сервер C2, в частности, используя разработчиков, которые ищут обходные пути во время запрета Telegram во Вьетнаме.
-----

Недавнее исследование выявило атаку на цепочку поставок, нацеленную на экосистему RubyGems, которую приписывают хакеру, действующему под псевдонимами Bi nam, buidanhnam и si_mobile. Этот злоумышленник опубликовал два вредоносных приложения под названием "fastlane-plugin-telegram-proxy" и "fastlane-plugin-proxy_teleram", которые предназначены для имитации законных плагинов Fastlane. Эти драгоценные камни облегчают скрытую фильтрацию данных, передаваемых через Telegram API, путем перенаправления всего трафика на сервер управления (C2), контролируемый участником. Примечательно, что атака совпала с общенациональным запретом Telegram во Вьетнаме, что указывает на то, что разработчики, ищущие обходные пути, вероятно, были основными целями атаки.

Вредоносные гемы в точности повторяют законный проект "fastlane-plugin-telegram", используемый для отправки уведомлений о развертывании с конвейеров CI/CD. Хакер внес минимальные изменения, в первую очередь заменив законную конечную точку API Telegram на жестко заданный адрес C2. Это изменение позволяет всем коммуникациям в Telegram, включая токены ботов, идентификаторы чатов, содержимое сообщений и вложенные файлы, передаваться через прокси—сервер участника. Важно отметить, что функциональные возможности плагина остались неизменными, а это означает, что законное взаимодействие с Telegram не будет затронуто, что усложнит усилия по обнаружению.

Жестко запрограммированная конечная точка C2, "rough-breeze-0c37.buidanhnam95.workers.dev", имеет решающее значение для работы вредоносных плагинов. Она служит заменой официальному API Telegram и собирает конфиденциальные данные без согласия пользователя. Хотя хакер утверждает, что прокси-сервер не хранит и не изменяет токены ботов, это утверждение не поддается проверке и вводит в заблуждение из-за потенциальной возможности регистрации или изменения данных при их прохождении через прокси-сервер. Общий дизайн и исполнение предполагают явное намерение украсть учетные данные под видом законного инструмента.

Особое беспокойство вызывает метод маскировки, использованный при создании этих драгоценных камней, который включал в себя незначительные типографские изменения в названии и брендинге, что позволило им органично вписаться в экосистему. Такой подход не только опирается на существующее доверие к законным инструментам Fastlane, но и использует возросший спрос на прокси-решения в свете запрета Telegram. Такой стратегический выбор времени подчеркивает осведомленность противника о местных геополитических событиях во Вьетнаме, повышая вероятность преднамеренной попытки использовать уязвимых разработчиков.

#ParsedReport #CompletenessLow
03-06-2025

The Transparent Tribe Vibe: APT36 Returns With CapraRAT Impersonating Viber

https://www.cloudsek.com/blog/the-transparent-tribe-vibe-apt36-returns-with-caprarat-impersonating-viber

Report completeness: Low

Actors/Campaigns:
Transparenttribe

Threats:
Caprarat
Crimson_rat
Androrat_rat

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.005, T1123, T1412, T1422, T1430, T1435, T1446, T1471, T1583.003

IOCs:
Hash: 3
IP: 1

Soft:
Viber, Android, Google Play

Algorithms:
md5

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, chats: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT36, или Transparent Tribe, использует инфраструктуру Contabo для размещения вредоносных программ CapraRAT и Crimson RAT, причем первая из них замаскирована под приложение Viber, что обеспечивает широкие возможности для наблюдения. Тактика группы заключается в использовании знакомых приложений для социальной инженерии для повышения эффективности вторжения.
-----

Было обнаружено, что APT36, также известный как Transparent Tribe, использует инфраструктуру VPS-провайдера Contabo для размещения вредоносных действий, связанных с трояном удаленного доступа для Android (RAT) CapraRAT, а также для целей Windows, использующих Crimson RAT. Недавние события указывают на усовершенствованную тактику, при которой группа теперь маскирует вредоносное по CapraRAT под законное приложение для обмена сообщениями Viber. Этот вредоносный вариант оснащен широкими правами доступа, которые позволяют записывать аудио, читать текстовые сообщения, отслеживать местоположение устройства и получать доступ к контактам и истории звонков.

Расследование, проведенное CloudSEK, показало, что APT36 по-прежнему отдает предпочтение Contabo в плане предоставления услуг хостинга и DNS, которые также были отмечены в предыдущем отчете об их усилиях по распространению CapraRAT. CapraRAT сам по себе является модифицированной версией AndroRAT с открытым исходным кодом. Чтобы выявить дополнительные потенциальные угрозы, был выполнен запрос Censys для определения местонахождения любой командно-диспетчерской инфраструктуры Crimson RAT, также использующей услуги Contabo. Проверка этих результатов была проведена с помощью VirusTotal, которая выявила значительные совпадения в тактике, методах и процедурах (TTP), связанных с APT36.

Более того, было обнаружено, что среди идентифицированной инфраструктуры один IP-адрес, обозначенный как Crimson RAT command-and-control, часто использовался APT36 для прошлых вредоносных операций. Детальный анализ файлов, передаваемых с этого IP-адреса, выявил несколько вредоносных пакетов APK, два из которых имеют общее название "com.moves.media.tubes", что тесно связано с кампаниями APT36 в этом году. Один конкретный пример был примечателен тем, что он выдавал себя за Viber, используя различные разрешения, которые предоставляют широкие возможности для наблюдения за зараженными устройствами.

Эти разрешения включают в себя возможность контролировать исходящие звонки, записывать аудио, читать и перехватывать SMS-сообщения, получать доступ к камере и контактным данным, точно отслеживать местоположение и управлять учетными записями. Этот особый подход, сочетающий стратегии социальной инженерии с законной маскировкой приложений, подчеркивает неустанное стремление APT36 использовать уязвимости, одновременно используя знакомую цифровую среду для повышения вероятности успешных вторжений. Полученные данные указывают на сохраняющуюся угрозу, исходящую от APT36, что требует принятия бдительных мер кибербезопасности для снижения подверженности таким изощренным вредоносным действиям.

#ParsedReport #CompletenessHigh
03-06-2025

OtterCookie Malware Analysis and Distribution

https://any.run/cybersecurity-blog/ottercookie-malware-analysis/

Report completeness: High

Actors/Campaigns:
Lazarus
Contagious_interview
Dev_popper

Threats:
Ottercookie
Invisibleferret
Beavertail
Anydesk_tool
Credential_dumping_technique

Geo:
Finland, Dprk, North korean

TTPs:

IOCs:
Url: 1
Domain: 1
IP: 2
File: 3
Hash: 4

Soft:
Node.js, macOS, Ubuntu, Google Chrome, Opera, Mozilla Firefox, Firefox, Unix

Wallets:
exodus_wallet

Crypto:
solana

Algorithms:
sha256

Functions:
require

Win Services:
bits

Languages:
javascript, python

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
OtterCookie - это вредоносная программа-похититель, связанная с Lazarus Group, нацеленная на учетные данные и криптовалюту с помощью обманчивых предложений о работе. Он использует запутанный JavaScript для сокрытия вредоносных действий, таких как утечка данных через сервер C2 в США, и загружает программу InvisibleFerret RAT для постоянного доступа. Вредоносная программа использует тактику платформы MITRE ATT&CK, такую как сброс учетных данных и эксфильтрация данных, что указывает на растущие угрозы в технологическом и финансовом секторах.
-----

OtterCookie - это недавно обнаруженная вредоносная программа-похититель, связанная с Lazarus Group, северокорейским хакером, спонсируемым государством. В первую очередь она нацелена на учетные данные, криптокошельки и конфиденциальные данные лиц, работающих в технологическом и финансовом секторах. Эта вредоносная программа распространяется обманным путем, маскируясь под простую внештатную задачу по написанию кода и используя чисто выглядящие Node.js хранилища, чтобы свести к минимуму подозрения. Кампания, получившая название "Заразительное интервью", включает в себя тактику социальной инженерии, включая поддельные предложения о работе и проблемы с кодированием.

Вредоносная программа сама по себе является сложной и использует сильно запутанный код JavaScript, чтобы избежать обнаружения. Она запускается с помощью уникальной последовательности инициализации, которая использует преднамеренные ошибки для запуска загрузки вредоносного кода с удаленного сервера. В частности, после настройки сервера Node.js он имитирует ошибку в коде, которая побуждает вредоносную программу загружать и выполнять дополнительную полезную нагрузку из внешнего API. Этот метод демонстрирует творческий подход к развертыванию вредоносного ПО, повышая его шансы остаться незамеченным.

OtterCookie нацелен на различные типы конфиденциальных данных, включая учетные данные браузера, хранящиеся в разных профилях, цепочки для ключей macOS и информацию о криптовалютных кошельках, таких как Solana и Exodus. После сбора необходимых данных OtterCookie отправляет их на сервер командно-диспетчерского управления (C2), расположенный в США, через порт 1224 - метод, соответствующий более ранним кампаниям Lazarus, таким как Beavertail и InvisibleFerret. Вредоносная программа сжимает украденные данные перед их отправкой, используя знакомые имена файлов и методы, которые использовались при предыдущих атаках.

Кроме того, после первоначальной фильтрации данных OtterCookie приступает к следующему этапу атаки, загружая троянскую программу удаленного доступа InvisibleFerret (RAT), которая помогает поддерживать постоянный доступ к скомпрометированным системам. Этот прогресс демонстрирует взаимосвязанность семейств вредоносных программ в рамках операций Lazarus Group, а также их постоянное внимание к краже, связанной с криптовалютами, что облегчает отмывание денег и обеспечивает анонимность.

Поведение вредоносного ПО соответствует нескольким тактикам, описанным в платформе MITRE ATT&CK, таким как обнаружение системной информации, сброс учетных данных операционной системы и использование протоколов прикладного уровня для эксфильтрации. Эволюция OtterCookie усиливает необходимость в постоянной бдительности, поскольку хакеры становятся все более изощренными и прибегают к обману, особенно с помощью социальной инженерии и нацеливания на сектора с высокой добавленной стоимостью.

#ParsedReport #CompletenessLow
03-06-2025

In-depth Analysis of a 2025 ViperSoftX Variant

https://labs.k7computing.com/index.php/in-depth-analysis-of-a-2025-vipersoftx-variant/

Report completeness: Low

Threats:
Vipersoftx

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1053.005, T1059.001, T1071.001, T1082, T1547.001, T1555.003, T1555.004

IOCs:
File: 2
Hash: 1

Soft:
Task Scheduler, Windows scheduled task, Windows Registry, Keepass, Twitter

Wallets:
exodus_wallet, electrum, metamask, coinbase

Crypto:
binance

Algorithms:
xor, base64

Functions:
Get-ServerID, Get-UserInfo

Win Services:
WebClient

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В начале 2025 года появился вариант вредоносного ПО на базе PowerShell, отличающийся улучшенной модульностью, постоянством и скрытностью благодаря трехуровневой стратегии сохранения. Оно эффективно собирает конфиденциальные пользовательские данные и использует шифр XOR для обмена данными C2, что улучшает его производительность и возможности скрытности.
-----

В начале 2025 года на подпольных форумах появился новый вариант вредоносного ПО на базе PowerShell, напоминающий ViperSoftX stealers из 2024 года. Эта последняя версия демонстрирует улучшенные механизмы модульности, скрытности и постоянства, что делает ее более серьезной угрозой. Структурированная логика выполнения вредоносного ПО демонстрирует его модульную конструкцию, которая позволяет ему эффективно выполнять задачи на нескольких этапах, включая инициализацию, настройку сохраняемости и взаимодействие с серверами управления (C2).

В версии 2024 года использовался простой мьютекс для предотвращения запуска нескольких экземпляров, что заставляло его ждать 10 секунд перед выходом, если обнаруживалось, что он уже активен. Однако в более новой версии 2025 года реализована более надежная трехуровневая стратегия сохранения. Он устанавливает запланированную задачу Windows с именем "WindowsUpdateTask", которая гарантирует запуск вредоносного ПО при входе пользователя в систему, а также вносит изменения в реестр для повышения устойчивости к перезагрузкам. Кроме того, он поддерживает улучшенную связь с C2, проверяя, перезапустился ли C2, чтобы сбросить сеанс или получить новые команды, если нет.

Версия 2025 года расширила свои целевые возможности, поддерживая более широкий спектр расширений и приложений для кошельков, таких как Exodus, Atomic, Electrum, а также различные расширения для браузера, включая MetaMask, Binance и Coinbase. Он активно собирает конфиденциальные данные от пользователей, такие как сведения об операционной системе, имена пользователей, IP-адреса и обнаруженные приложения, тем самым расширяя свои функциональные возможности по удалению конфиденциальной информации.

Что касается обмена данными, вредоносная программа использует базовый шифр XOR для шифрования полезной нагрузки, передаваемой на сервер C2, которая затем расшифровывается при получении. Эта стратегия обеспечивает усовершенствованный процесс выполнения, при котором каждая расшифрованная полезная нагрузка выполняется как задание PowerShell. Преимущества таких заданий заключаются в том, что они менее заметны, не блокируют выполнение и имеют возможность тайм-аута, что значительно повышает скрытность и стабильность вредоносного ПО по сравнению с его предшественником.

#ParsedReport #CompletenessLow
03-06-2025

The Security Risks of Internet-Exposed Solar Power Systems

https://www.forescout.com/blog/the-security-risks-of-internet-exposed-solar-power-systems/

Report completeness: Low

Victims:
Solar power vendors, Device owners

Industry:
Energy

Geo:
China, Netherlands, Portugal, Japan, Germany, Chinese, Asia, Italy, Singapore, Greece, Austria

CVEs:
CVE-2022-40881 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- contec solarview compact firmware (6.00)

CVE-2022-29303 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- contec sv-cpt-mc310 firmware (6.00)

CVE-2023-29919 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- contec solarview compact firmware (le6.0)

CVE-2023-23333 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- contec solarview compact firmware (le6.00)


ChatGPT TTPs:
do not use without manual check
T1046, T1059, T1068, T1090.003, T1133, T1190, T1583.001

IOCs:
IP: 43

Soft:
Twitter

Functions:
Internet-Exposed