#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакер из Китая Hive0154 нацелен на тибетское сообщество, используя вредоносное ПО Pubload в фишинговых кампаниях с использованием соответствующих документов. Pubload использует обратные оболочки, в то время как Claimloader улучшает работу с помощью расширенного шифрования и динамической загрузки API для скрытности.
-----

Хакерская группа Hive0154, связанная с Китаем, недавно атаковала тибетское сообщество, используя вредоносное ПО Pubload в рамках серии изощренных фишинговых кампаний. В этих кампаниях используются культурно и политически значимые документы-приманки, такие как документы, связанные с 9-й Всемирной конвенцией парламентариев по Тибету (ВКПТ), и недавняя публикация Далай-ламы "Голос для безмолвных". Время проведения этих кампаний совпадает со значимыми событиями для тибетского сообщества, особенно в связи с повышенным интересом к 90-летию Далай-ламы, которое отмечается в июне 2025 года.

Pubload, простой бэкдор, способен загружать зашифрованные данные с помощью шеллкода и загружать их в память. Его основная полезная нагрузка, Pubshell, создает обратную оболочку для немедленного доступа к скомпрометированным компьютерам. Фишинговая тактика Hive0154 часто включает в себя вводящие в заблуждение имена файлов, ссылающиеся на текущие геополитические проблемы, чтобы побудить получателей к взаимодействию. Они продемонстрировали практику использования документов Microsoft Word, содержащих безобидный контент, наряду с вредоносными исполняемыми файлами, которые используют методы дополнительной загрузки DLL. Эта тактика является передовой, поскольку позволяет обойти традиционные меры безопасности, маскируя законную информацию в зараженных файлах.

Вредоносная программа Claimloader, загрузчик из арсенала Hive0154, расширяет функциональность их операций. Этот инструмент был усовершенствован, и в последнее время он использует алгоритм TripleDES для шифрования полезной нагрузки и динамической загрузки необходимых API-интерфейсов для обеспечения скрытого выполнения. После активации Claimloader создает мьютексы для обеспечения выполнения в единственном экземпляре и устанавливает постоянство с помощью ключей реестра. Его функция включает расшифровку встроенной полезной нагрузки и выполнение ее в памяти, что расширяет возможности Hive 0154 в отношении шпионажа и целенаправленного сбора данных.

Исследователи X-Force подчеркивают, что Hive 0154 активно участвует в кампаниях, нацеленных не только на тибетскую общину, но и на другие геополитические субъекты, что указывает на широкий круг интересов, включая иностранные правительственные организации. Их деятельность характеризуется тщательным планированием и исполнением, использованием навыков социальной инженерии для привлечения внимания пользователей к вредоносному контенту.

#ParsedReport #CompletenessLow
30-06-2025

Pi2Day Scams: Crypto Users Targeted in Coordinated Facebook Ad Campaign Delivering Malware and Stealing Wallets

https://www.bitdefender.com/en-us/blog/hotforsecurity/pi2day-scams-crypto-users-targeted-in-coordinated-facebook-ad-campaign-delivering-malware-and-stealing-wallets

Report completeness: Low

Victims:
Pi network users, Investors, Crypto afficionados, Crypto novices

Geo:
India, Vietnam, China, Philippines, Australia

ChatGPT TTPs:
do not use without manual check
T1027, T1056.001, T1059.007, T1105, T1204.002, T1555, T1562.006, T1566.002, T1589.001

IOCs:
File: 2

Soft:
TradingView

Crypto:
binance

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники нацелились на мероприятие Pi2Day с помощью фишинговой рекламы на Facebook, чтобы украсть фразы для восстановления криптокошелька и распространить вредоносное ПО. Они используют тактику обмана, такую как поддельные предупреждения о безопасности от авторитетных платформ и предложения бесплатного программного обеспечения для майнинга, внедряя вредоносные программы, которые могут украсть учетные данные и избежать обнаружения. Пользователи должны быть осторожны с подозрительной рекламой и загружать приложения только из официальных источников, чтобы снизить риск.
-----

Мероприятие Pi2Day, которое отмечается 28 июня, стало мишенью киберпреступников, использующих вредоносные рекламные кампании в Facebook. Целью этих атак является подбор фраз для восстановления криптокошелька и распространение вредоносного ПО. С 24 июня хакеры разместили более 140 вариантов рекламы с использованием изображений Pi Network, чтобы перенаправить пользователей на фишинговые сайты или вредоносные приложения. Атака, судя по всему, имеет глобальный охват, и ее целью являются такие регионы, как США, Европа, Австралия, Китай, Вьетнам, Индия и Филиппины.

Для этой кампании характерны два основных метода. Один из вариантов включает фишинговую рекламу, замаскированную под уведомления от авторитетных платформ, таких как Binance и TradingView, которые информируют пользователей о срочных мерах безопасности. Другой подход обещает пользователям бесплатное программное обеспечение для майнинга Pi или бонусы в размере 31,4 PI за установку приложений для ПК. Однако на самом деле эти установки содержат вредоносные программы, идентифицированные ранее, в частности Generic.msil.wmitask и Generic.JS.WMITask. Вредоносная программа является многоцелевой — она может красть сохраненные учетные данные и ключи крипто-кошелька, регистрировать вводимые пользователем данные, загружать дополнительные вредоносные компоненты и использовать методы обфускации и обхода "песочницы", чтобы оставаться незамеченной.

Киберпреступники используют доверие к известным платформам, вводя пользователей в заблуждение с помощью соблазнительной рекламы на Facebook, которая ведет на незаконные веб-сайты. Задействованное многоэтапное вредоносное ПО демонстрирует знакомую тактику уклонения от обнаружения и структуру инфраструктуры, что позволяет предположить, что оно организовано одной группой, проводящей несколько одновременных мошеннических действий с целью расширения охвата и получения финансовой выгоды. Bitdefender сообщила, что стала первой, кто выявил и заблокировал варианты вредоносного ПО, задействованные в этой кампании, которая включает в себя активную блокировку всех поддельных доменов и вредоносной полезной нагрузки.

Пользователям рекомендуется не вводить фразы для восстановления своего кошелька на любом веб-сайте и быть осторожными с рекламой, которая рекламирует крипто-бонусы или бесплатные приложения для майнинга без подтверждения их источников. В рекомендациях рекомендуется загружать приложения исключительно из официальных магазинов приложений или веб-сайта Pi Network и использовать такие инструменты, как Bitdefender Scamio, для оценки подозрительных сообщений и сайтов. Бдительность имеет решающее значение, поскольку этот сценарий указывает на более широкую и постоянную угрозу, когда одна и та же группа использует рекламную платформу Meta для проведения нескольких мошеннических операций, продолжая совершенствовать свою тактику, повторно используя одну и ту же вредоносную инфраструктуру.

#ParsedReport #CompletenessMedium
30-06-2025

DragonForce Ransomware: From Hacktivism to Global Cyber Extortion

https://darkatlas.io/blog/dragonforce-ransomware-from-hacktivism-to-global-cyber-extortion

Report completeness: Medium

Actors/Campaigns:
Dragonforce (motivation: cyber_criminal, hacktivism, financially_motivated)
Dragonforce_malaysia (motivation: hacktivism)
Lockbit (motivation: hacktivism)

Threats:
Dragonforce_ransomware
Ransomhub
Lockbit
Log4shell_vuln
Cobalt_strike_tool
Mimikatz_tool
Systembc
Supply_chain_technique
Conti
Byovd_technique

Industry:
Aerospace, Retail, Telco, E-commerce, Logistic, Critical_infrastructure, Healthcare, Transport

Geo:
America, Asia

CVEs:
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- siemens 6bk1602-0aa12-0tp0_firmware (<2.7.0)


TTPs:
Tactics: 7
Technics: 11

Algorithms:
aes-256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель DragonForce, выпущенная в 2023 году, работает как программа-вымогатель как услуга, ориентируясь на такие секторы, как розничная торговля и производство, с настраиваемой полезной нагрузкой. Для развертывания он использует модифицированный LockBit 3.0, применяя тактику двойного вымогательства и используя уязвимости, такие как Log4Shell. Их инструменты включают Cobalt Strike и Mimikatz, которые нацелены на разрушение критически важных секторов с целью получения финансовой выгоды.
-----

Программа-вымогатель DragonForce работает по модели "Программа-вымогатель как услуга" (RaaS), изменяя цели от политических до финансовых. Его модульный инструментарий позволяет филиалам создавать индивидуальные программы-вымогатели, воздействующие на такие секторы, как розничная торговля, финансы и производство, главным образом в Северной Америке, Европе и Азии. В декабре 2023 года DragonForce запустила "DragonLeaks" для борьбы с утечками данных и переговорами о выкупе, что указывает на связи с DragonForce Malaysia. Платформа включает настраиваемый конструктор полезной нагрузки, оптимизированное для скрытности шифрование, многоязычные порталы для жертв и многоуровневую модель распределения доходов.

Программа-вымогатель DragonForce использует модифицированную архитектуру LockBit 3.0 и использует стратегию двойного вымогательства, сочетающую шифрование данных с угрозами публичного раскрытия украденных данных. Первоначальный доступ часто получают с помощью фишинга, использования уязвимостей, таких как Log4Shell (CVE-2021-44228), вброса учетных данных и компрометации учетных данных.

Для горизонтального перемещения DragonForce использует Cobalt Strike, Mimikatz для кражи учетных данных и SystemBC для передачи команд и контроля. Группа использует такие методы, как горизонтальное перемещение по протоколу удаленного рабочего стола (RDP), и использует доверительные отношения в сетях.

Централизованная партнерская платформа использует панель управления на базе .onion, позволяющую партнерам настраивать двоичные файлы программ-вымогателей, управлять доходами и получать комиссионные. DragonForce ориентирована как на государственный, так и на частный сектор, уделяя особое внимание производству, технологическим фирмам, медицинским учреждениям и логистике, нарушая важнейшие цепочки поставок.

Группа также использует усовершенствованный вариант LockBit и усовершенствованный форк Conti, включающий в себя сложное шифрование и метод "Принесите свой собственный уязвимый драйвер" (BYOVD) для отключения обнаружения конечных точек. SystemBC обеспечивает постоянный доступ и скрытые боковые перемещения. Постоянное воздействие DragonForce на критически важные сектора отражает стремление к максимальному финансовому эффекту за счет сбоев в работе. Организациям рекомендуется усилить защиту в местах, подверженных риску, и следить за конкретными методами DragonForce.

#ParsedReport #CompletenessHigh
30-06-2025

Hide Your RDP: Password Spray Leads to RansomHub Deployment

https://thedfirreport.com/2025/06/30/hide-your-rdp-password-spray-leads-to-ransomhub-deployment/

Report completeness: High

Actors/Campaigns:
Ransomhub

Threats:
Password_spray_technique
Ransomhub
Mimikatz_tool
Lolbin_technique
Netscan_tool
Rclone_tool
Credential_harvesting_technique
Softperfect_netscan_tool
Atera_tool
Splashtop_tool
Shadow_copies_delete_technique
Lsadump_tool
Dcsync_technique
Nltest_tool
Nircmd_tool
Wevtutil_tool

Industry:
Telco

Geo:
United kingdom, Ukraine, Belgium

TTPs:
Tactics: 10
Technics: 27

IOCs:
IP: 3
File: 16
Command: 3
Path: 2
Registry: 1
Hash: 5

Soft:
Microsoft Edge, Windows Security, Windows shell, process explorer, fsutil, Active Directory, Local Security Authority, Google Chrome, WordPad, VirtualBox, have more...

Algorithms:
base64

Functions:
Get-VM, SetCloudRegion

Languages:
powershell, visual_basic

Platforms:
x86

YARA: Found
SIGMA: Found

#ParsedReport #ExtractedSchema

Classified images:
table: 14, windows: 2, code: 3, schema: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В конце ноября 2024 года хакер использовал распыление паролей на сервере RDP для первоначального доступа, собрал учетные данные с помощью Mimikatz и провел разведку. Они развернули RClone для фильтрации данных, затем установили средства удаленного доступа и запустили программу-вымогатель RansomHub с использованием передовых методов уклонения, и все это в течение 118 часов.
-----

В конце ноября 2024 года хакер осуществил многоаспектное вторжение, которое началось с атаки с использованием пароля на незащищенный сервер протокола удаленного рабочего стола (RDP). В этой атаке использовались известные вредоносные IP-адреса, связанные с предыдущими атаками на учетные данные, что привело к успешной аутентификации шести учетных записей пользователей. После первоначального доступа злоумышленник собрал учетные данные, используя инструменты Mimikatz и Nirsoft CredentialFileView. Они получили широкую известность в сети, используя современные технологии и сторонние приложения, такие как Advanced IP Scanner и SoftPerfect NetScan, для получения сведений о системе и подсчета учетных записей пользователей и компьютеров, расширяя свое присутствие на различных контроллерах домена и серверах.

После установления доступа к ключевым серверам они развернули RClone, который использовался для фильтрации данных по протоколу SFTP, ориентируясь на определенные типы файлов, такие как документы и электронные письма. Процесс эксфильтрации включал выполнение скриптов, таких как nocmd.vbs и rcl.bat, для облегчения передачи, которая осуществлялась через порт 443, подтверждая использование SFTP. В последующие дни злоумышленник вернулся, чтобы провести разведку, установить средства удаленного доступа Atera и Splashtop для постоянного доступа и изменить пароли пользователей, что, вероятно, затруднит восстановление.

Кульминацией вторжения стало развертывание программы-вымогателя RansomHub, запускаемой с помощью двоичного файла с именем amd64.exe. Операция программы-вымогателя включала остановку всех запущенных виртуальных машин, удаление теневых копий и выполнение команд для очистки журналов событий, что серьезно затрудняло усилия по реагированию на инциденты. Распространение вредоносного ПО по сети осуществлялось с помощью SMB, в котором файлам-вымогателям присваивались случайные символы, чтобы скрыть их вредоносную природу. Была проведена тщательная подготовка и проверка сети, чтобы обеспечить эффективное распространение программы-вымогателя при минимальном обнаружении.

На протяжении всей атаки хакер демонстрировал явное намерение не высовываться и избежать обнаружения, используя законные инструменты для удаленного доступа и обнаружения информации. Использование инструментов сброса учетных данных и нацеливание на конкретные серверы с высокой стоимостью указывают на сложный подход, направленный на максимизацию последствий вторжения при одновременном обеспечении операционной безопасности. Общее время, затраченное на получение первоначального доступа к программе-вымогателю, составило приблизительно 118 часов, что свидетельствует о хорошо спланированной и методичной стратегии атаки.

#ParsedReport #CompletenessLow
30-06-2025

Threat Actors Exploit CVE-2025-3248 to Deliver Flodrix Botnet

https://blog.polyswarm.io/threat-actors-exploit-cve-2025-3248-to-deliver-flodrix-botnet

Report completeness: Low

Threats:
Flodrix_botnet
Leethozer_botnet

CVEs:
CVE-2025-3248 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- langflow (<1.3.0)


TTPs:
Tactics: 1
Technics: 0

IOCs:
Hash: 11

Soft:
Langflow

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Уязвимость CVE-2025-3248 (CVSS 9.8) в Langflow позволяет выполнять удаленный код без проверки подлинности. Эксплуатируемый ботнетом Flodrix, он использует вредоносные программы на Python для DDoS-атак и кражи данных, используя при этом такие тактики уклонения, как самоудаление и запутывание строк.
-----

Описанный хакер использовал критическую уязвимость, идентифицированную как CVE-2025-3248, которая имеет оценку CVSS 9,8. Эта уязвимость затрагивает версии Langflow до версии 1.3.0 и допускает удаленное выполнение кода без проверки подлинности, позволяя злоумышленникам выполнять произвольный код в уязвимых системах. Инцидент связан с ботнетом Flodrix, который распространяется с помощью вредоносных программ на Python. После развертывания этот ботнет способствует распределенным атакам типа "Отказ в обслуживании" (DDoS) и краже данных из скомпрометированных систем.

Злоумышленники используют эксплойты с открытым исходным кодом и средства разведки, такие как Shodan, для выявления и атаки на серверы Langflow, которые доступны для общего доступа в Интернет. Этот процесс позволяет им эффективно сканировать уязвимые экземпляры. В своей тактике работы вредоносное ПО демонстрирует расширенные возможности скрытности. Он использует такие методы, как самоудаление, которое удаляет свое присутствие из зараженной системы, чтобы избежать обнаружения, а также обфускацию строк, которая маскирует код вредоносной программы, чтобы предотвратить анализ и идентификацию с помощью программного обеспечения безопасности. Такое сочетание использования уязвимости и изощренной тактики уклонения от ответственности подчеркивает эволюцию круга хакеров и необходимость того, чтобы организации защищали свои системы от подобных уязвимостей.

#ParsedReport #CompletenessMedium
30-06-2025

Havoc Demon Targeting Pakistan International Airlines

https://dmpdump.github.io/posts/Havoc-Demon-Targeting-Pakistan-International-Airlines/

Report completeness: Medium

Threats:
Havoc
Process_injection_technique
Dev_tunnels_tool

Victims:
Pakistan international airlines

Industry:
Aerospace

Geo:
China, Bangladesh, Pakistan

ChatGPT TTPs:
do not use without manual check
T1027, T1055, T1055.001, T1059.005, T1071.001, T1105, T1204.002, T1566.001, T1620

IOCs:
File: 4
Hash: 3
Url: 1

Soft:
Microsoft Office

Algorithms:
sha2, base64

Functions:
ObjectExceed, ModelAsset

Win API:
DispCallFunc, NtAllocateVirtualMemory, NtProtectVirtualMemory

Links:
https://github.com/dmpdump

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносный документ Word из Пакистана, напоминающий предыдущую кампанию Havoc Demon, использует макросы для запуска отражающего загрузчика, который подключается к адресу C2 через dev-туннели Microsoft, улучшая тактику уклонения и сигнализируя о продолжающейся скоординированной атаке со стороны того же хакера.
-----

В июне 2025 года был обнаружен вредоносный документ Word, исходящий из Пакистана, который очень напоминал предыдущую кампанию, проведенную в январе 2025 года с использованием вредоносного ПО Havoc Demon. Документ, загруженный на VirusTotal, имеет название "TMS Data - июнь 2025" и использует макрос, чтобы побудить пользователей включить макросы для просмотра, в частности, для Pakistan International Airlines (PIA). Как только макросы активированы, документ инициирует аномальную активность, создавая новый процесс WINWORD.exe, что указывает на потенциальное внедрение процесса путем выделения памяти RWX (чтение-запись-выполнение), содержащей переносимый исполняемый файл.

Макрокод выполняет полезную нагрузку непосредственно из памяти, используя функцию, получившую название RightAmex, которая регулирует права доступа к памяти и запускает низкоуровневые вызовы API через DispCallFunc. Последующий анализ выгруженной полезной нагрузки, который согласуется с более ранними результатами, полученными в январе, показывает, что это вариант шеллкода, который отражает Демона хаоса, с меньшей запутанностью по сравнению с предыдущими экземплярами. Этот шеллкод представляет собой отражающий загрузчик, который развертывает встроенный переносимый исполняемый файл с именем demon.x64.dll, идентифицируемый по его незашифрованной конфигурации.

Инфраструктура командования и контроля (C2) для этого варианта использует туннели разработки Microsoft, позволяющие хакерам направлять трафик через законные домены Microsoft, тем самым улучшая тактику уклонения от обнаружения. Обнаруженный адрес C2 - это hxxp://djlmwd9b-80.euw.devtunnels.ms/. Этот метод использования установленной инфраструктуры для перенаправления C2 позволяет избежать осложнений, связанных с блокировкой домена, с которой часто сталкиваются злоумышленники. Совпадения в тактике, целевых секторах и характере шеллкода убедительно свидетельствуют о том, что эта новая атака связана с тем же хакером, который участвовал в предыдущей кампании, нацеленной на Havoc Demon, что указывает на потенциально продолжающуюся серию скоординированных атак со стороны этого субъекта.

#ParsedReport #CompletenessLow
01-07-2025

LNK and BAT files: phishing mailing

https://habr.com/ru/companies/usergate/articles/923818/

Report completeness: Low

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1055.002, T1059.001, T1059.003, T1105, T1140, T1202, T1204.002, T1547.001, have more...

IOCs:
Url: 7
File: 15
Hash: 92
IP: 1

Soft:
Curl

Algorithms:
base64, aes, zip

Languages:
python, powershell

Links:
https://github.com/billythegoat356/Kramer
https://github.com/KhanhNguyen9872/kramer-specter\_deobf

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная полезная нагрузка доставляется с использованием файлов LNK и BAT посредством фишинговых электронных писем с ZIP-файлами; файлы LNK используют PowerShell для выполнения, в то время как файлы BAT запускают скрипты на Python, которые запутывают и выполняют вредоносный код, усложняя его обнаружение.
-----

Анализ фокусируется на двух распространенных сценариях доставки вредоносной информации: один использует файлы LNK, а другой - файлы BAT. Оба метода в основном основаны на фишинговых электронных письмах, содержащих ZIP-архивы с вложениями, защищенными паролем, при этом пароль часто указывается в тексте письма. В первом случае файлы LNK служат промежуточным звеном для запуска основной вредоносной программы. Злоумышленники используют интерпретаторы команд, такие как CMD или PowerShell, для запуска сценариев, встроенных в файлы LNK. Чтобы избежать обнаружения, они используют такие методы, как кодирование, запутывание или шифрование.

На примере вредоносного файла LNK анализ показывает, как злоумышленники могут скрыть важную информацию с помощью шифрования. Используя PowerShell для расшифровки и изменяя исходную структуру команд, в частности, заменяя Invoke—Expression на Echo, аналитики могут восстановить вредоносную полезную нагрузку для дальнейшего изучения. Однако во время этого расследования само вредоносное ПО было недоступно.

В отличие от этого, второй сценарий предполагает развертывание основной полезной нагрузки с помощью файлов BAT, где кодировка является основным используемым методом обфускации. Проверка конкретного файла BAT показывает, что он запускает самые последние загруженные скрипты на Python. Файлы, о которых идет речь (FV1.PY через FV6.PY и YAM1.от PY до YAM6.PY) - это скомпилированные скрипты на Python, которые расшифровывают шелл-код, выделяют для него память и выполняют его. Все эти скрипты следуют согласованному алгоритму.

Динамический анализ показывает, что эти вредоносные скрипты при запуске запускают несколько экземпляров процесса NOTEPAD.exe, каждый из которых имеет уникальный идентификатор. Примечательно, что они реализуют подмену родительского процесса, что усложняет усилия по обнаружению, поскольку скрывает их источник, создавая впечатление, что Explorer.exe отвечает за запуск всех экземпляров NOTEPAD.exe.

Анализ показывает, что даже, казалось бы, простые кибератаки могут быть сложными и эффективными, если использовать различные методы обфускации и выполнения кода. Изучение этих двух сценариев, включающих как файлы LNK, так и файлы BAT, подчеркивает важность детального ручного анализа для выявления такой тактики и противодействия ей, что в конечном итоге позволяет разработать более надежную защиту от обхода автоматизированной защиты информации.

#ParsedReport #CompletenessMedium
01-07-2025

DCRAT Impersonating the Colombian Government

https://www.fortinet.com/blog/threat-research/dcrat-impersonating-the-columbian-government

Report completeness: Medium

Threats:
Dcrat
Steganography_technique
Credential_harvesting_technique

Victims:
Colombian government entity, Organizations

Industry:
Government

Geo:
Colombian, Columbia, Colombia

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1027.003, T1033, T1053.005, T1055, T1059.001, T1059.003, T1059.005, T1071.001, have more...

IOCs:
Path: 2
IP: 2
Coin: 1
Command: 2
Registry: 3
File: 4
Url: 3
Hash: 4

Algorithms:
base64, zip, sha256, md5, aes-256

Functions:
InitializeSettings, CreateMutex, Install

Win API:
RtlSetProcessIsCritical, SetThreadExecutionState, AmsiScanBuffer

Languages:
powershell