#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
EagleSpy v5 - это усовершенствованный Android-RAT, который обеспечивает всесторонний контроль над устройствами, используя методы обхода мер безопасности, мониторинг в режиме реального времени и возможности кражи данных. Он распространяется через вредоносные APK-файлы из неофициальных источников, позволяя злоумышленникам использовать уязвимости и получать конфиденциальную информацию, включая фразы о криптовалютных кошельках.
-----

EagleSpy v5 - это сложный троян для удаленного доступа (RAT), нацеленный на устройства Android и предоставляющий злоумышленникам полный контроль над скомпрометированными системами. Этот набор вредоносных программ включает в себя множество функций, включая прямую трансляцию с экрана, ведение кейлогга и доступ к камерам устройств и микрофонам для записи в режиме реального времени, а также GPS-трекинг, позволяющий отслеживать местоположение в режиме реального времени. Он также предоставляет возможности управления файлами для загрузки, скачивания и удаления файлов, а также чтения журналов вызовов и SMS-сообщений. Функции управления приложениями распространяются на удаленную установку и удаление приложений, в то время как дополнительные модули позволяют перехватывать данные из буфера обмена и выполнять банковские операции. Кроме того, он обладает возможностями программы-вымогателя, которые дополняют его профиль угрозы.

Одной из наиболее важных характеристик EagleSpy v5 является его способность обходить механизмы обнаружения, в частности Google Play Protect и другие антивирусные решения, что значительно затрудняет жертвам идентификацию и удаление вредоносного ПО. В RAT встроены передовые методы уклонения, в том числе наложение черного экрана, предназначенное для маскировки вредоносных действий. Он использует специальные службы Android для использования уязвимостей, что позволяет обходить новые меры безопасности, введенные в Android 13. Вредоносная программа также может захватывать конфиденциальную информацию, такую как скриншоты секретных фраз из 12 слов, обычно используемых для защиты криптовалютных кошельков, что создает значительный риск для цифровых активов пользователей.

EagleSpy v5 обычно распространяется с помощью вредоносных APK-файлов, которые маскируются под законные приложения. Эти файлы распространяются через неофициальные магазины приложений, фишинговые кампании и платформы социальных сетей, включая TikTok. После установки шпионское ПО работает скрытно в фоновом режиме, отправляя конфиденциальную информацию обратно на удаленный сервер управления, контролируемый злоумышленником. Продвижение EagleSpy v5 отдельными лицами из сообществ киберпреступников указывает на тревожную тенденцию в изменении ландшафта угроз для пользователей Android, демонстрируя как сложность вредоносного ПО, так и текущие проблемы в области кибербезопасности. Пользовательский интерфейс, которым поделился известный промоутер, отличается продуманным дизайном, облегчающим злоумышленникам навигацию и предоставляющим доступ к различным модулям для использования.

#ParsedReport #CompletenessHigh
28-06-2025

On the other side of the door. We explore the attacks of the ROOM155 group

https://www.f6.ru/blog/room155/

Report completeness: High

Actors/Campaigns:
Darkgaboon (motivation: cyber_criminal)

Threats:
Xworm_rat
Revenge_rat
Avemaria_rat
Venomrat
Darktrack
Dcrat
Lockbit
Stealerium_stealer
Cryptoclipper
Hvnc_tool
Anydesk_tool
Dotnet_reactor_tool
Darktrack_rat
Themida_tool
Keilger
Quasar_rat
Blackmatter

Victims:
Financial organizations, Transport companies, Retail companies, Industry companies, Logistics companies, Construction companies, Housing and communal services, Medicine companies, Tourism companies, It companies, have more...

Industry:
Logistic, Retail, Healthcare, Financial, Foodtech

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1005, T1021.002, T1027, T1036.003, T1056.001, T1056.002, T1059.001, T1071.001, T1071.004, T1082, have more...

IOCs:
File: 18
Domain: 31
Hash: 126
Email: 4
Url: 2
IP: 13
Coin: 5

Soft:
Windows Runtime, Microsoft JScript, NET Reactor, NET FRAMEWORK, Chrome, Firefox, Telegram, Discord, Steam

Wallets:
zcash

Crypto:
ethereum

Algorithms:
md5, gzip, zip

Languages:
autoit, delphi

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Финансово мотивированная киберпреступная группировка ROOM155 атакует российские компании с помощью фишинга и вредоносных программ, таких как Revenge RAT и XWorm. Они используют динамические серверы C2 и маскируют вредоносные файлы двойными расширениями, ориентируясь на финансовые организации и применяя такие тактики, как вымогательство с помощью Lockbit 3.0. Их действия указывают на сложную инфраструктуру и методы сохранения вредоносных программ для утечки конфиденциальных данных.
-----

Группа ROOM155, также известная как DarkGaboon и Vengeful Wolf, является финансово мотивированной киберпреступной организацией, которая действует с 2022 года, в основном нацеливаясь на российские сектора. Их методы включают в себя изощренные фишинговые атаки с использованием вредоносных вложений, таких как архивы, содержащие вредоносное ПО, и документы, которые кажутся законными. Известные вредоносные программы, используемые группой, включают Revenge RAT, XWorm, Avemaria RAT, Darktrack, DCRAT и Venomrat, которые рассылаются по электронной почте и предназначены для обмана пользователей, чтобы заставить их запускать вредоносные файлы.

Группа использует широкий спектр серверов управления (C2), в частности rampage.myvnc.com, который, как сообщается, с середины 2023 года является основной инфраструктурой для размещения различных типов вредоносных программ. К конкретным примерам вредоносных файлов относятся 0968498486.TMP.EXE (XWorm), а также примеры, указывающие на использование уязвимостей в законных финансовых ресурсах для привлечения жертв. Злоумышленники также используют различные расширения файлов и двойные рассылки, такие как .pdf.scr и .xlsx.scr, для маскировки исполняемых файлов, что еще больше повышает их шансы на успешное проникновение.

В своей деятельности группа предпочитает атаковать финансовые организации (51%), за которыми следуют транспорт, розничная торговля и промышленность. Их тактика заключается в шифровании файлов жертв с использованием версии Lockbit 3.0 и требовании выкупа, что указывает на структурированный и настойчивый подход к стратегиям атак. Зашифрованные файлы часто содержат уникальные расширения, связанные с деятельностью группы, что свидетельствует о постоянном расширении возможностей и инфраструктуры вредоносных программ.

В ROOM155 используется динамический DNS, который объединяет несколько типов вредоносных программ с общими конфигурациями, что свидетельствует о высоком уровне операционной сложности. Например, было обнаружено, что задокументированные образцы вредоносных программ взаимодействуют с одним и тем же сервером C2, что указывает на скоординированные усилия по управлению их преступными операциями, оставаясь при этом незамеченными.

Анализ их инфраструктуры показал, что группа регистрирует домены для облегчения маскировки своих атак. Документально подтвержденные механизмы сохранения данных включают изменения в реестре для обеспечения повторного запуска вредоносного ПО после перезагрузки системы. Кроме того, выяснилось, что злоумышленники подписывают вредоносные двоичные файлы поддельными сертификатами X.509, что повышает легитимность их полезной нагрузки.

Инструменты, используемые ROOM155, такие как Revenge RAT, предлагают широкие возможности для фильтрации данных, обеспечивая доступ к веб-камерам и микрофонам, а также используя функции для управления процессами, сбора нажатий клавиш и извлечения конфиденциальной информации из браузеров. Таким образом, ROOM155 является примером современного хакера, использующего передовые технологии, устойчивую инфраструктуру и различные вредоносные программы для эксплуатации организаций в первую очередь с целью получения финансовой выгоды. Постоянная бдительность и передовые системы обнаружения необходимы для смягчения последствий действий таких организованных хакеров.

#ParsedReport #CompletenessLow
28-06-2025

Inside the Shadows: Understanding Active Iranian APT Groups

https://www.picussecurity.com/resource/blog/understanding-active-iranian-apt-groups

Report completeness: Low

Actors/Campaigns:
Apt33 (motivation: cyber_espionage)
Oilrig (motivation: cyber_espionage)
Tracer_kitten
Charming_kitten
Irgc
Apt42 (motivation: cyber_espionage)
Muddywater (motivation: cyber_espionage, hacktivism)
Fox_kitten (motivation: cyber_espionage, sabotage)
Tortoiseshell
Cyberav3nger (motivation: propaganda, hacktivism)
Blackshadow
Void_manticore (motivation: hacktivism)
Nemesis_kitten (motivation: hacktivism)
Mosesstaff (motivation: propaganda, information_theft)
Greencharlie (motivation: cyber_espionage)
Ghostemperor
Lazarus
Remix_kitten
Copykittens
Darkhydrus
Siamesekitten
Leafminer
Rocket_kitten
Ferocious_kitten

Threats:
Stuxnet
Credential_harvesting_technique
Spear-phishing_technique
Dropshot
Turnedup
Dns_tunneling_technique
Quadagent
Powgoop
Redrum
Mimikatz_tool
Supply_chain_technique
Syskit
Apostle
Deadwood
Foudre

Victims:
Think tanks, Academic institutions, Dissident communities, Journalists, Researchers, Human rights activists, Government officials, Aerospace organizations, Energy organizations, Defense organizations, have more...

Industry:
Military, Aerospace, Telco, Education, Critical_infrastructure, Ngo, Government, Energy

Geo:
Korea, Iran, Middle east, Israel, Chinese, Asia, Israeli, Russian, Saudi arabia, Iranian

CVEs:
CVE-2021-40444 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.19060)
- microsoft windows_10_1607 (<10.0.14393.4651)
- microsoft windows_10_1809 (<10.0.17763.2183)
- microsoft windows_10_1909 (<10.0.18363.1801)
- microsoft windows_10_2004 (<10.0.19041.1237)
have more...

ChatGPT TTPs:
do not use without manual check
T1021.001, T1055, T1059.001, T1071.004, T1078, T1102, T1110, T1113, T1114, T1136.001, have more...

IOCs:
File: 1

Soft:
Telegram, Microsoft Office, macOS

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Иранские кибероперации превратились в изощренные, спонсируемые государством группы APT, нацеленные на организации, отвечающие национальным интересам. Ключевыми участниками являются Tracer Kitten, который использует шпионский фишинг и сбор учетных данных, и APT 35, который использует уязвимости программного обеспечения для атак социальной инженерии. Другие группы, такие как APT 33 и OilRig, специализируются на кибершпионаже и внедрении вредоносных программ, демонстрируя целый ряд тактик и приемов, адаптированных к конкретным геополитическим целям.
-----

За последнее десятилетие иранские кибероперации значительно расширились, став более изощренными и отвечающими национальным интересам. Хакеры, спонсируемые государством, связаны с иранской разведкой и военными структурами. Наращивание кибервозможностей началось после атаки Stuxnet в 2010 году.

Tracer Kitten занимается подводной охотой и сбором учетных данных, нацеливаясь на западные аналитические центры, академические учреждения и диссидентов. Magic Hound (APT 35) проводит атаки с использованием социальной инженерии против журналистов и активистов, используя уязвимости, подобные CVE-2021-40444.

APT 33 (Elfin или Magnallium) нацелен на шпионаж в аэрокосмическом, энергетическом и оборонном секторах, используя пользовательские вредоносные программы, такие как DropShot и TurnedUp. OilRig (APT 34) нацелен на финансовый и правительственный секторы, используя модульные вредоносные программы и инструменты PowerShell.

APT 42 нацелен на диссидентов и критически важные учреждения с помощью облачных платформ и фишинга учетных данных. MuddyWater занимается шпионажем и подрывной деятельностью, используя PowerShell и вредоносные программы-вымогатели Thanos.

Parisite использует уязвимости пограничной инфраструктуры для доступа к сети и обеспечения долговременной устойчивости. Tortoiseshell компрометирует поставщиков ИТ-услуг, чтобы получить доступ к оборонным и энергетическим организациям. Agrius проводит деструктивные атаки wiper, замаскированные под программы-вымогатели.

Министерство юстиции США сочетает тактику вымогателей с хактивизмом. Сотрудники Moses обвиняют израильские организации в краже данных и пропаганде. GreenCharlie специализируется на кибершпионаже на Ближнем Востоке, но требует дополнительной информации.

Операции иранских APT могут быть адаптированы к геополитической напряженности и оборонительным достижениям. Организациям следует смоделировать сценарии атак, чтобы протестировать защиту от тактики иранских APT.

#cyberthreattech

Допилили сервис переводов TI-текстов, т.ч. качество перевода на русский скоро повысим.

#technique

dnsimg - storing images in txt records

https://asherfalcon.com/blog/posts/2

З.ы. Картинки в TXT записях... этот мир уже не спасти.

#technique

REMOTE WINDOWS CREDENTIAL DUMP WITH SHADOW SNAPSHOTS: EXPLOITATION AND DETECTION

https://labs.itresit.es/2025/06/11/remote-windows-credential-dump-with-shadow-snapshots-exploitation-and-detection/

#ParsedReport #CompletenessLow
29-06-2025

Mythic C2 with EarlyBird Injection and Defender Evasion

https://xbz0n.sh/blog/mythic-c2-early-bird-defender-evasion

Report completeness: Low

Threats:
Mythic_c2
Earlybird_injection_technique
Cobalt_strike_tool
Domain_fronting_technique
Apollo
Process_injection_technique
Credential_harvesting_technique
Antidebugging_technique
Polymorphism_technique

ChatGPT TTPs:
do not use without manual check
T1001.003, T1003, T1027, T1027.005, T1036.004, T1036.005, T1055.002, T1055.012, T1055.019, T1071.001, have more...

IOCs:
File: 20
Path: 1

Soft:
Nginx, WordPress, Ubuntu, sudo, Docker, curl, Windows Error Reporting, Windows Defender

Algorithms:
prng, exhibit, xor

Functions:
decrypt, Execute, GetEmbeddedPayload, AdvancedPayloadLoader, Run, main, Get-MpComputerStatus

Win API:
CreateProcessW, VirtualAllocEx, WriteProcessMemory, QueueUserAPC, ResumeThread

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В статье описывается построение инфраструктуры скрытого командования и контроля (C2) с использованием фреймворка Mythic C2 и технологии EarlyBird injection, которая использует перенаправители HTTP/HTTPS и легитимный трафик для скрытия коммуникаций C2. В нем подробно описывается, как полезная нагрузка внедряется в легитимные процессы, такие как WerFault.exe, что повышает скрытность и позволяет избежать обнаружения blue teams. Использование реальных доменов и SSL-сертификатов добавляет запутанности, в то время как резервные стратегии обеспечивают устойчивость системы к попыткам обнаружения.
-----

В статье рассматриваются тонкости построения эффективной инфраструктуры командования и контроля (C2), в частности, выделяется платформа Mythic C2 и метод внедрения EarlyBird для обеспечения скрытности во время операций red team. В нем критикуется упрощенный подход, часто применяемый сотрудниками red team, которые полагаются на базовые настройки, такие как Cobalt Strike, подчеркивая, что современные службы безопасности могут быстро выявлять и нейтрализовывать такие очевидные угрозы.

Ядро этой инфраструктуры C2 сосредоточено на использовании перенаправителей HTTP/HTTPS, чтобы скрыть фактический сервер C2 от прямого доступа в Интернет. Это достигается с помощью конфигурации прямого прокси-сервера Nginx, где подлинный веб-трафик скрывает коммуникации C2. Используя легальный контент, зашифрованный трафик и действительные сертификаты, система стремится создать видимость нормальной работы систем обнаружения. Система направляет все коммуникации через сайт-приманку, который спроектирован таким образом, чтобы выглядеть законным и служить прикрытием для трафика C2, сводя к минимуму вероятность обнаружения.

Центральное место в этой операции занимает технология внедрения EarlyBird, которая повышает скрытность полезной нагрузки. Этот метод использует рабочий процесс создания процессов Windows, создавая процессы в приостановленном состоянии, что позволяет выделять память и внедрять ее без немедленного оповещения. Это позволяет выполнить код на этапе инициализации процесса, до того, как большинство мониторов безопасности смогут активироваться. В статье подробно описывается, как загрузчик взаимодействует с системными процессами, в частности, как он нацелен на легитимные процессы, такие как WerFault.exe для внедрения, маскируя свою вредоносную природу при сохранении работоспособности.

В нем также обсуждается важность использования реальных доменных имен и SSL-сертификатов при настройке, добавляя уровни запутывания, которые значительно усложняют обнаружение для blue teams. Благодаря тому, что все коммуникации соответствуют допустимым схемам трафика, риск раскрытия информации значительно снижается. Например, полезные файлы маскируются под безобидные типы файлов, такие как загрузка шрифтов, что еще больше усиливает вредоносную активность в рамках обычного поведения в Интернете.

Устойчивость инфраструктуры повышается за счет внедрения резервных стратегий и обеспечения того, чтобы в случае сбоя в работе одной части системы другие могли поддерживать работоспособность. Это включает автоматическую ротацию полезной нагрузки и все более сложные методы обфускации для взаимодействия инструментов статического и динамического анализа. В статье подчеркивается необходимость принятия ориентированного на защиту подхода, позволяющего предвидеть и смягчать тактику обнаружения, используемую современными решениями для обеспечения безопасности конечных точек.

#ParsedReport #CompletenessLow
29-06-2025

Prolific Phishing Campaign Leveraging Zoom's Infrastructure

https://blog.reconinfosec.com/zoom-events-phishing

Report completeness: Low

Threats:
Aitm_technique
Credential_harvesting_technique
Screenconnect_tool

Victims:
Social security administration, Investment firms, General users

Industry:
Government

ChatGPT TTPs:
do not use without manual check
T1036.005, T1078, T1204.001, T1566.001, T1566.002, T1584.005, T1589.002

IOCs:
File: 1
Url: 19

Soft:
Zoom, Microsoft Office, Twitter, Discord

Crypto:
chainlink

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Растет число изощренных фишинговых кампаний, использующих инфраструктуру электронной почты Zoom Events и использующих SPF, DKIM и DMARC для уклонения от уплаты налогов. Тактика включает кражу учетных данных и вредоносные загрузки по обманным ссылкам, часто выдавая себя за доверенные учреждения. Пользователям рекомендуется самостоятельно проверять подозрительные электронные письма.
-----

Разведывательный центр SOC выявил рост числа изощренных фишинговых кампаний, которые используют легальную инфраструктуру электронной почты Zoom Events. Эти фишинговые электронные письма, отправляемые с адреса noreply-zoomevents@zoom.us, демонстрируют высокую степень защиты от стандартных протоколов безопасности электронной почты благодаря их криптографическим методам подписи (SPF, DKIM, DMARC), благодаря чему они выглядят как заслуживающие доверия сообщения для пользователей.

В кампаниях используется двойной подход, направленный как на кражу учетных данных, так и на распространение вредоносных настольных приложений. Пользователи получают электронные письма с инструкциями "Просмотреть файл" или "Загрузить настольное приложение прямо сейчас". Электронные письма обычно содержат основную ссылку, ведущую на hxxps://docs.zoom.us/doc/, которая впоследствии направляет жертв либо на фишинговый сайт с учетными данными “промежуточной учетной записи” (AitM), либо инициирует загрузку вредоносного исполняемого файла, замаскированного под ScreenConnect.

Метод, используемый для фишинга учетных данных, очень напоминает фишинг по цепочке ссылок, при котором пользователей заставляют переходить по ссылкам, предположительно ведущим к документам, которые затем требуют от них перехода по нескольким обманным страницам – сначала к поддельному запросу на проверку (CAPTCHA), а затем к странице входа в систему Microsoft, которая фиксирует их учетные данные.

Тактика фишинга заключается в использовании вводящих в заблуждение тем, которые имитируют срочные сообщения, касающиеся финансовых вопросов, обмена файлами или правительственных уведомлений. Кампания демонстрирует выдачу себя за учреждения, такие как Управление социального обеспечения и инвестиционные фирмы, для завоевания доверия получателей. Электронные письма предназначены для того, чтобы заставить пользователей загружать приложения или нажимать на кнопки “Просмотреть файл”. Кроме того, вводящий в заблуждение логотип содержит значки Microsoft Office и нижние колонтитулы "События масштабирования", которые содержат вводящие в заблуждение инструкции, относящиеся к этим якобы "защищенным" документам.

Чтобы снизить риски, связанные с подобными попытками фишинга, пользователям рекомендуется воздержаться от перехода по ссылкам или загрузки вложений из неожиданных электронных писем, которые якобы относятся к событиям Zoom. Любые подозрительные сообщения должны быть независимо проверены отправителем, избегая прямых ответов на подозрительные электронные письма, а о любых необычных электронных письмах следует сообщать через установленные системы электронной почты пользователей.

#ParsedReport #CompletenessLow
29-06-2025

Latest RapperBot Trends Targeting DVRs

https://blog.nicter.jp/2025/06/rapperbot_2025_2g/

Report completeness: Low

Threats:
Rapperbot
Mirai

Victims:
Itx security, Ctring, Domestic retailer, X

Industry:
Entertainment, Iot, Retail

Geo:
France, China, Korean

ChatGPT TTPs:
do not use without manual check
T1027, T1046, T1090.003, T1105, T1110.001, T1133, T1190, T1210, T1499.004, T1568.002, have more...

IOCs:
Hash: 5

#ParsedReport #ExtractedSchema

Classified images:
chart: 2, schema: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная программа RapperBot, разновидность Mirai, предназначенная для видеорегистраторов, использует уязвимости с помощью логинов с использованием грубой силы и атак на административный интерфейс. Для сбора информации об устройстве используются сканеры типа Recon, что усложняет анализ уязвимостей нулевого дня. Последние обновления включают использование рандомизированных полных доменных имен для связи C2 и методов HTTPS, которые скрывают вредоносный трафик.
-----

RapperBot - это разновидность ботнета Mirai, нацеленного на видеорегистраторы. Он использует уязвимости путем принудительного входа в систему с использованием учетных данных по умолчанию и прямого доступа к административным интерфейсам. Примерно 40% паролей, используемых RapperBot, относятся к видеорегистраторам. Для тестирования на наличие атак нулевого дня требуются реальные устройства, поскольку злоумышленники проверяют реакцию устройств перед выполнением эксплойтов. Команда CSRI отслеживает RapperBot с 2022 года, отметив, что он использует четыре типа вредоносных программ для сканирования устройств. В последнее время наиболее распространенным типом сканирования является Recon scanner, который использует успешные логины для сбора информации об устройстве для проведения атак. Целями DDoS-атак являются китайские компании и глобальные сервисы, такие как игровые серверы и CDN, что указывает на потенциальный переход к DDoS-атакам как к услуге, хотя прямые ссылки на RapperBot остаются неподтвержденными. Изменения в версиях RapperBot, не предназначенных для сканирования, включают улучшенное разрешение имен серверов C2 с несколькими рандомизированными полными доменными именами и внедрение методов HTTPS, что усложняет обнаружение. Одна уязвимость в прошивке видеорегистратора может повлиять на множество OEM-продуктов 28 различных брендов, что усложняет меры реагирования.

#ParsedReport #CompletenessMedium
29-06-2025

1. Attack Process

https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247506352&idx=1&sn=c9c57e22e7b3300fe2c7d07520d1f339&chksm=f9c1eab9ceb663af9394f52d9f6eb9552f0ee112f8f492b1da6acb8c3444756398d65f6e93e7&scene=178&cur_album_id=1955835290309230595&search_click_id

Report completeness: Medium

Actors/Campaigns:
Darkhotel

Threats:
Double_kill_vuln
Double_star_vuln
Nightmare_formula_vuln
Zemana_tool
Byovd_technique

Victims:
North korean-related traders, People involved in north korean trade

Geo:
North korean, Korean

ChatGPT TTPs:
do not use without manual check
T1036.005, T1055.001, T1055.002, T1059.001, T1068, T1070.004, T1204.002, T1543.003, T1562.001, T1562.004, have more...

IOCs:
File: 6
Path: 4
Hash: 3

Soft:
Windows Defender, Microsoft Defender

Algorithms:
md5, rc4

Win API:
RtlDecompressBuffer, decompress, MsiGetPropertyW

Languages:
powershell