#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная программа imad213, созданная хакером im_ad__213, маскируется под инструмент для сбора учетных данных в Instagram. Она маскирует свое поведение и использует удаленное отключение, передавая украденные учетные данные нескольким бот-сервисам и вводя пользователей в заблуждение поддельными инструкциями по безопасности.
-----

Расследование, проведенное командой Socket по исследованию угроз, выявило вредоносную программу под названием imad213, разработанную хакером im_ad__213, которая маскируется под инструмент для роста Instagram. Этот сборщик учетных данных на основе Python использует такие методы, как кодирование base64, чтобы скрыть свое назначение, и использует удаленный переключатель блокировки с помощью управляющего файла, размещенного на Netlify. После запуска вредоносная программа запрашивает у пользователей учетные данные Instagram, вводя их в заблуждение, утверждая, что это увеличивает количество подписчиков, и в то же время тайно передавая эти учетные данные нескольким сторонним бот-сервисам.

Пакет imad213 имеет профессиональный внешний вид на GitHub и содержит README, который содержит вводящие в заблуждение инструкции по технике безопасности, предназначенные для того, чтобы пользователи чувствовали себя в безопасности. Предлагая использовать временную учетную запись, вредоносная программа заставляет пользователей думать, что они могут защитить свои основные учетные записи, при этом предоставляя злоумышленнику законные учетные данные. Распространение этого вредоносного инструмента, вероятно, происходит через форумы и платформы, такие как Discord, которые привлекают пользователей, ищущих "способы взлома"..

Кроме того, вредоносная программа выполняет важную проверку, подключаясь к указанному серверу, чтобы проверить, может ли она запуститься. Такая связь с контрольным файлом позволяет злоумышленнику регулировать доступ к вредоносному ПО, что позволяет ему мгновенно отключать копии, если это вызовет беспокойство правоохранительных органов. Вредоносная программа сохраняет украденные учетные данные локально в виде открытого текста, одновременно отправляя информацию в десять связанных бот-сервисов, которые выдают себя за законные платформы для роста. Эти сервисы, имеющие схожие инфраструктуры и регистрационные данные, похоже, работают в рамках скоординированных усилий по сбору и широкомасштабному использованию учетных данных.

Жертвы не знают о возможных последствиях предоставления своей информации. Связанные бот-сервисы могут осуществлять различные вредоносные действия, такие как хранение учетных данных, их продажа или использование скомпрометированных учетных записей для рассылки спама. Распространенный таргетинг на Instagram, наряду с другими платформами социальных сетей, подчеркивает высокую ценность этих платформ для хакеров, особенно учитывая частое повторное использование паролей пользователями разных аккаунтов.

Последствия для жертв могут быть серьезными: они могут не только взломать свои аккаунты в Instagram, но и подвергнуть риску раскрытие соответствующей личной информации и подключений к другим платформам социальных сетей. Учитывая обширную базу пользователей Instagram, инциденты, связанные с кражей учетных данных, могут позволить хакерам получить доступ к многочисленным аккаунтам, что повышает их шансы на успех. Кроме того, использование автоматизированных сервисов нарушает Условия использования Instagram, что потенциально может привести к приостановке действия аккаунта или постоянным блокировкам. Эта ситуация привлекает внимание к постоянной угрозе, исходящей от схем сбора учетных данных, которые используют стремление пользователей к росту в социальных сетях, рискуя при этом их личной безопасностью.

#ParsedReport #CompletenessMedium
06-06-2025

DarkEngine

https://connect.cybercx.com.au/dark-engine?filetype=.pdf

Report completeness: Medium

Actors/Campaigns:
Darkengine (motivation: financially_motivated)
Kongtuke
Landupdate808
Tag-124
Asylum_ambuscade

Threats:
Seo_poisoning_technique
Fakecaptcha_technique
Yanb
Clickfix_technique
Lumma_stealer
Netsupportmanager_rat
Danabot
Asyncrat
Darkgate
Rhysida
Interlock
Socgholish_loader

Victims:
Wp engine users, Businesses using wp engine, Australian organisations, New zealand organisations, Marketing companies, Search engine optimisation companies, Individuals, Managewp users

Geo:
New zealand, Australian, Australia, Ireland, Canada, Russian, India, Indonesia, Philippines, United kingdom, Norway, Germany, Denmark, Netherlands

ChatGPT TTPs:
do not use without manual check
T1027, T1056.004, T1070.004, T1071.001, T1078, T1090.002, T1105, T1140, T1185, T1505.003, have more...

IOCs:
File: 91
Url: 60
IP: 50
Domain: 2

Soft:
WordPress, Chromium, OpenSSL, curl

Algorithms:
base64, aes, cbc, aes-256-cbc

Functions:
TextDecoder

Languages:
powershell, javascript, php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложная фишинговая кампания под названием DarkEngine нацелена на пользователей движка WP, используя SEO-отравление, чтобы перенаправить жертв на поддельные сайты для входа в систему. Злоумышленники крадут учетные данные для взлома сайтов WordPress, внедряя бэкдоры и используя вредоносные программы, такие как Lumma Stealer и AsyncRAT. Кампания использует методы социальной инженерии, включая поддельные капчи, и требует от организаций проводить аудит активности в аккаунтах и удалять вредоносные плагины.
-----

CyberCX выявила сложную фишинговую кампанию, нацеленную на пользователей WP Engine, управляемой хостинговой платформы WordPress, получившей название DarkEngine. Кампания, действующая как минимум с июня 2024 года, использует методы поисковой оптимизации (SEO) для привлечения потенциальных жертв на фишинговые сайты, которые полностью имитируют интерфейс входа в систему WP Engine, эффективно заставляя пользователей раскрывать свои учетные данные. Этот метод позволяет хакерам получить несанкционированный доступ к учетным записям WP Engine, а затем и к сайтам WordPress, управляемым через эти учетные записи.

Как только злоумышленники получают учетные данные WP Engine, они используют их для взлома нескольких нижестоящих сайтов WordPress под одним управлением, внедряя бэкдоры с помощью вредоносного плагина и выполняя произвольный JavaScript на сайтах. Такая многоэтапная стратегия атаки свидетельствует о наличии у хакера финансовых мотивов, позволяющих осуществлять масштабное заражение скомпрометированных веб-сайтов. CyberCX выявила более 2353 уникальных сайтов, потенциально затронутых этой операцией, включая те, которые принадлежат организациям в Австралии и Новой Зеландии.

В дополнение к прямой краже учетных данных, кампания использует метод ClickFix, при котором поддельные подсказки с вводом капчи внедряются на взломанные сайты, чтобы манипулировать посетителями, заставляя их выполнять вредоносные команды. Эта тактика социальной инженерии облегчает внедрение различных типов вредоносных программ, включая похитителей информации и троянов удаленного доступа, таких как Lumma Stealer, DanaBot, AsyncRAT, NetSupport RAT и DarkGate. Злоумышленники используют инструмент автоматизации браузера Puppeteer для оптимизации процесса аутентификации и использования, поддерживая постоянство за счет использования различных бэкдоров и внедренных скриптов.

Операционная инфраструктура хакера включает в себя общедоступную панель для управления взломанными веб-сайтами. Эта панель позволяет злоумышленникам отслеживать своих жертв, отправлять учетные данные для дополнительной компрометации и внедрять скрипты на взломанные сайты. Одним из важных методов компрометации является изменение "wp-cron.php" для выполнения внедренного кода, что обеспечивает развертывание вредоносного плагина, идентифицируемого как "WP-antymalwary-bot.php.".

Кампания демонстрирует высокий уровень сложности в организации, включая клонирование законных сайтов на платформе WP Engine для сбора конфиденциальной информации для входа в систему и поддержание постоянного доступа через созданные учетные записи SFTP. Показателями компрометации для организаций являются неожиданные создания или удаления пользователями SFTP, а также нераспознанные плагины или модификации в установках WordPress.

Организациям, использующим WP Engine, рекомендуется проводить тщательный аудит активности своих учетных записей, отслеживать несанкционированные входы в систему и обучать персонал борьбе с попытками фишинга, связанными с использованием поддельных капч, и связанными с ними рисками выполнения команд вне среды браузера. Кроме того, активные усилия должны быть направлены на выявление и удаление любых вредоносных плагинов или внедренного контента, связанного с этой кампанией, чтобы снизить риски, связанные с деятельностью DarkEngine.

#ParsedReport #CompletenessHigh
06-06-2025

Operation DRAGONCLONE: Chinese Telecommunication industry targeted via VELETRIX & VShell malware

https://www.seqrite.com/blog/operation-dragonclone-chinese-telecom-veletrix-vshell-malware/

Report completeness: High

Actors/Campaigns:
Dragonclone
Unc5174
Earth_lamia

Threats:
Veletrix
Vshell
Dll_sideloading_technique
Screenconnect_tool
Cobalt_strike_tool
Supershell
Spear-phishing_technique
Process_injection_technique

Victims:
China mobile tietong co., ltd.

Industry:
Telco

Geo:
China, Indian, Chinese, Hong kong

CVEs:
CVE-2025-31324 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sap netweaver (7.50)

CVE-2024-1709 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- connectwise screenconnect (<23.9.8)


TTPs:
Tactics: 6
Technics: 18

IOCs:
File: 4
Hash: 7
IP: 3

Soft:
SAP NetWeaver

Algorithms:
exhibit, zip, xor

Win API:
Beep, NtDelayExecution, LoadLibraryA, GetProcAddress, VirtualAllocExNuma, VirtualProtect, HeapAlloc, HeapFree, RtlIpV4StringToAddressA, EnumCalendarInfoA, have more...

Languages:
golang

Platforms:
cross-platform

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, windows: 5, code: 6, dump: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская кампания, нацеленная на China Mobile Tietong Co., Ltd., использует вредоносные программы, в том числе VELETRIX и VShell, используя методы сторонней загрузки DLL-файлов и использование законных сертификатов подписи кода. Имплантат VELETRIX использует IP-маскировку для маскировки своей полезной нагрузки, в то время как VShell имеет связи с китайскими хакерскими группами и был замечен с общими ключами для нескольких имплантатов, что позволяет предположить скоординированные атаки. Серверы управления указывают на текущие операции, проводимые спонсируемыми государством субъектами.
-----

APT-команда Seqrite Labs выявила и проанализировала хакерскую кампанию, направленную против китайской телекоммуникационной отрасли, в частности, China Mobile Tietong Co., Ltd. В этой кампании используется сложная экосистема вредоносных программ, в основном состоящая из VELETRIX и VShell - инструментов, которые обычно используются хакерами, особенно связанными с Китаем.

Цепочка заражения начинается с вредоносного ZIP-файла, который был обнаружен 13 мая и содержит множество исполняемых файлов и библиотек динамической компоновки (DLL). Примечательно, что ZIP-файл также был идентифицирован на VirusTotal. Среди извлеченных файлов был и исполняемый файл под названием “2025 China Mobile Tietong Co., Ltd. Внутренняя программа обучения”, который служил приманкой и загружал вредоносные библиотеки DLL, в том числе одну с именем drstat.dll, которая связана с программным обеспечением WonderShare RepairIT. Хакеры использовали методы сторонней загрузки библиотек DLL, используя законные сертификаты подписи кода как от WonderShare, так и от Shenzhen Thunder Networking Technologies Ltd., последние часто связаны с вредоносными действиями.

Анализ продолжается с помощью имплантата VELETRIX, 64-разрядного двоичного кода, который использует несколько методов эксплойта. В нем используется метод, называемый IPFuscation, для преобразования шелл-кода в распознаваемый список IPv4-адресов, с механизмом обратного вызова для выполнения кода. В частности, он использует функцию Windows API RtlIpV4StringToAddressA для декодирования и выполнения полезной нагрузки вредоносного ПО посредством простого обратного вызова, представляя себя как законную активность в системе.

После анализа VELETRIX был исследован имплантат VShell. Было обнаружено, что этот хорошо известный кроссплатформенный инструмент с открытым исходным кодом, которым в настоящее время злоупотребляют несколько китайских хакерских групп, выполняет вредоносные действия, работая как имплантат Windows, известный как tcp_windows_amd64.dll. Детальный анализ выявил использование одного и того же ключа salt — qwe123qwe — в 44 идентифицированных имплантатах, что указывает на потенциальную связь с группой Earth Lamia, а также на совпадения с группой UNC5174, которая ранее нацеливалась на различные объекты.

В ходе дальнейшего расследования была обнаружена сеть серверов управления, на которых размещались известные инструменты для взлома, такие как Cobalt Strike и SuperShell, что указывает на активные циклы развертывания, связанные с китайскими хакерами, спонсируемыми государством. Эти серверы использовали различные конфигурации портов и демонстрировали модели поведения, схожие с теми, которые наблюдались в предыдущих кампаниях APT.

#ParsedReport #CompletenessHigh
06-06-2025

Blitz Malware: A Tale of Game Cheats and Code Repositories

https://unit42.paloaltonetworks.com/blitz-malware-2025/

Report completeness: High

Threats:
Blitz_tool
Xmrig_miner
Elysium_stealer
Sandbox_evasion_technique

Victims:
Users of game cheats, Windows users

Industry:
Education

Geo:
Asia, America, Russian, Belarus, Ukraine, Russia, Africa, Kazakhstan

ChatGPT TTPs:
do not use without manual check
T1055.001, T1056.001, T1059.001, T1071.001, T1105, T1112, T1113, T1204.002, T1218.011, T1219, have more...

IOCs:
File: 7
Hash: 82
Domain: 2
Email: 4
Path: 2
Registry: 2
Url: 7
IP: 1

Soft:
Telegram, Hugging Face, Android, Visual Studio Code, Windows registry, curl, Docker, Discord

Crypto:
monero

Algorithms:
base64, xor, rc4, sha256, zip

Languages:
powershell, python

Links:
https://github.com/curl/curl-for-win
https://github.com/PaloAltoNetworks/Unit42-timely-threat-intel/blob/main/2025-04-25-IOCs-for-Blitz-malware.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Blitz - это вредоносная программа для Windows с загрузчиком и ботами, распространяемая через скрытые пакеты игровых читов в Telegram и предназначенная для пользователей Standoff 2. Она использует PowerShell для скрытой установки, поддерживает связь C2 и включает в себя такие функции, как кейлоггинг и DoS-атаки. С тех пор оператор sw1zzx прекратил распространение, подчеркнув риски, связанные с взломанным программным обеспечением.
-----

В конце 2024 года была обнаружена новая вредоносная программа для Windows, идентифицированная как Blitz, что указывает на продолжающийся цикл разработки. Blitz состоит из двух основных компонентов: загрузчика и полезной нагрузки бота, которая позволяет злоумышленникам контролировать зараженные системы Windows. Вредоносная программа, в частности, распространялась с помощью бэкдорных пакетов с чит-кодами для игр, в частности, была нацелена на пользователей мобильной игры Standoff 2 через Telegram.

Для распространения использовались ZIP-архивы, специально названные Elysium_CrackBy@sw1zzx_dev.zip и Nerest_CrackBy@sw1zzx_dev.zip, которые содержат встроенные исполняемые файлы (EXE-файлы). При запуске эти встроенные читы функционируют как загрузчик, который впоследствии извлекает и устанавливает Blitz-бота. Вредоносная программа действует скрытно, используя скрипт PowerShell для загрузки Blitz downloader, сохраняя его как “%localappdata%\Microsoft\Internet Explorer\ieapfltr.dll” и обеспечивая постоянство с помощью изменений в реестре, тем самым запускаясь при входе пользователя в систему. Компоненты загрузчика и бота взаимодействуют с инфраструктурой управления (C2), размещенной в пространстве Hugging Face, используя REST API, созданный на платформе FastAPI framework.

Бот Blitz включает в себя несколько функций, таких как ведение кейлогга, захват экрана и возможность запускать атаки типа "отказ в обслуживании" (DoS) на веб-серверы. Кроме того, бот способен загружать и запускать криптовалютный майнер XMRig, при условии проверки наличия экземпляров майнера на зараженной машине. Бот использует специальные методы сетевого взаимодействия, включая HTTP-запросы GET к конечным точкам C2 для получения оперативных команд и сбора данных.

Вредоносная программа использует меры защиты от "песочницы", чтобы избежать обнаружения во время анализа. Например, она использует проверки, чтобы определить, запущена ли она в виртуальной среде, и использует вводящие в заблуждение сообщения об ошибках, чтобы скрыть свои истинные намерения. Оператор, известный под ником sw1zzx, разместил рекламу этих читов в социальных сетях, что привело к широкому распространению в разных странах, при этом наибольший эффект был отмечен в России, Украине и Беларуси.

В начале 2025 года оператор объявил о своем уходе с рынка распространения вредоносных программ, сославшись на опасения по поводу безопасности, связанные с рисками, связанными с использованием скрытых читов. Впоследствии Hugging Face принял меры, отключив учетную запись оператора и заблокировав дальнейшие загрузки, связанные с Blitz. Угрозы, исходящие от Blitz, подчеркивают опасность использования взломанного программного обеспечения, подчеркивая значительные уязвимости в системе безопасности, которые сопровождают такие действия.

#ParsedReport #CompletenessMedium
08-06-2025

Analysis of Spyware That Helped to Compromise a Syrian Army from Within

https://www.mobile-hacker.com/2025/06/05/analysis-of-spyware-that-helped-to-compromise-a-syrian-army-from-within/

Report completeness: Medium

Threats:
Spymax
Spynote_rat

Victims:
Syrian army officers, Syrian army soldiers, Syrian military institution

Industry:
Military

Geo:
Syrian, Syria

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1041, T1071.001, T1074.001, T1123, T1125, T1204.001, T1566.001

IOCs:
Domain: 3
Hash: 6

Soft:
Telegram, Android

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Шпионская программа STFD-686, связанная с Android SpyMax, распространялась через Telegram среди офицеров сирийской армии под видом приложения для оказания финансовой помощи. Он извлекал конфиденциальные военные данные с помощью обманной тактики, позволяя злоумышленникам составлять карты дислокации войск и оценивать военные структуры, демонстрируя тем самым эффективность недорогих инструментов кибершпионажа.
-----

STFD-686 - это шпионское приложение, связанное с Android SpyMax и используемое для кибершпионажа против сирийских военных. Приложение распространялось среди солдат через Telegram под видом гуманитарной инициативы, предлагающей финансовую помощь. Программа эффективно удаляла конфиденциальные военные данные, включая воинские звания и местоположение подразделений. Android SpyMax, входящий в семейство вредоносных программ SpyNote, обеспечивает полный контроль над зараженными устройствами, включая слежку и GPS-отслеживание. Первоначально вредоносное ПО распространялось на подпольных форумах, прежде чем стало общедоступным. Во время установки программа запрашивала расширенные разрешения, а затем отображала фишинговые интерфейсы для извлечения конфиденциальной информации. Вредоносная программа взаимодействовала с двумя доменами: одним для фишинга и одним в качестве сервера управления (C&C). При необходимости она динамически извлекает дополнительные вредоносные данные с сервера управления. Целью SpyMax был сбор разведывательной информации о дислокации войск и структуре высокопоставленных офицеров, используя недорогостоящие инструменты для получения значительного стратегического эффекта.

#ParsedReport #CompletenessMedium
08-06-2025

From open-source to open threat: Tracking Chaos RATs evolution

https://www.acronis.com/en-us/cyber-protection-center/posts/from-open-source-to-open-threat-tracking-chaos-rats-evolution/

Report completeness: Medium

Actors/Campaigns:
Winnti
Transparenttribe
Stone_panda
Blindeagle
Oilrig
Charming_kitten

Threats:
Chaos_rat
Cobalt_strike_tool
Sliver_c2_tool
Chaos_ransomware
Njrat
Quasar_rat
Asyncrat
Pupy_rat

Geo:
French, Brazil, Portuguese, India, Spain, Japanese, Spanish, Italian

CVEs:
CVE-2024-31839 [Vulners]
CVSS V3.1: 4.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-30850 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1053.003, T1055.008, T1059.003, T1059.004, T1071.001, T1090, T1105, T1185, have more...

IOCs:
Hash: 20
File: 5
IP: 2

Soft:
Linux, task scheduler, macOS, Ubuntu

Algorithms:
sha256, base64

Functions:
ReadDir

Win API:
LockWorkStation

Languages:
golang, javascript

Platforms:
cross-platform

YARA: Found

Links:
https://github.com/kbinani/screenshot

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 7, code: 7, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Chaos RAT - это троян для удаленного доступа, предназначенный для Linux и Windows, использующий критическую уязвимость для удаленного выполнения кода. Он распространяется с помощью фишинговых сообщений электронной почты, имеет механизмы сохранения и использует команды двух операционных систем для выполнения операций. Открытый исходный код Chaos RAT, недостатки в его серверной части и низкий уровень обнаружения вызывают опасения по поводу его использования APT-группами.
-----

Появились новые варианты троянской программы удаленного доступа Chaos RAT, нацеленной как на Linux, так и на Windows. В веб-панели программы имеется критическая уязвимость, которая позволяет выполнять произвольный удаленный код на сервере. Chaos RAT распространяется в основном через фишинговые электронные письма с вредоносными ссылками или вложениями. Он изменяет системный планировщик задач для обеспечения постоянства, позволяя обновлять полезную нагрузку без физического доступа. Последний вариант был распространен в виде сжатого файла, замаскированного под утилиту для устранения неполадок в сети, предназначенную для пользователей Linux. Chaos RAT, разработанный в Golang, обладает кроссплатформенной поддержкой и административной панелью для управления полезной нагрузкой и сеансами. Его архитектура напоминает Cobalt Strike и Sliver, что облегчает шпионаж, кражу данных и внедрение программ-вымогателей. Он использует определенные команды для выполнения операционных задач, в зависимости от операционной системы, таких как завершение работы системы в Windows и манипуляции с файлами в Linux. Ошибка в функции BuildClient позволяет вводить команды из-за неправильной проверки ввода. Уязвимость межсайтового скриптинга (XSS) позволяет внедрять вредоносные скрипты в данные агента. Ее открытый исходный код увеличивает риск модификации для различных киберпреступных действий. Инструмент работает скрытно с низким уровнем обнаружения и потенциально может использоваться группами APT, такими как APT41 и APT10. Последние обновления в конфигурациях командно-диспетчерского управления указывают на непрерывную эволюцию средств защиты от кибербезопасности.

#ParsedReport #CompletenessLow
08-06-2025

Scattered Spider Targets Tech Companies for Help-Desk Exploitation - ReliaQuest

https://reliaquest.com/blog/scattered-spider-cyber-attacks-using-phishing-social-engineering-2025/

Report completeness: Low

Actors/Campaigns:
0ktapus (motivation: cyber_criminal, financially_motivated)
Dragonforce

Threats:
Evilginx_tool
Sim_swapping_technique
Typosquatting_technique
Blackcat
Ransomhub
Simplehelp_tool
Supply_chain_technique

Victims:
Marks & spencer, Co-op, Harrods, It contractors, Managed service providers, Reliaquest customers, Tcs

Industry:
Retail, Financial

Geo:
Russian, Russia, Moscow

ChatGPT TTPs:
do not use without manual check
T1071.001, T1078, T1078.002, T1078.003, T1098.001, T1110, T1110.001, T1111, T1136.001, T1136.003, have more...

Soft:
servicenow, ESXi

#ParsedReport #GeneratedSchema
Generated with GPT-4