#ParsedReport #CompletenessLow
04-07-2025

Apache Under the Lens: Tomcats Partial PUT and Camels Header Hijack

https://unit42.paloaltonetworks.com/apache-cve-2025-24813-cve-2025-27636-cve-2025-29891/

Report completeness: Low

Actors/Campaigns:
Atlas_lion

Victims:
Apache tomcat users, Apache camel users

CVEs:
CVE-2025-27636 [Vulners]
CVSS V3.1: 5.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache camel (<3.22.4, <4.8.5, <4.10.2)

CVE-2025-24813 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache tomcat (<9.0.99, <10.1.35, <11.0.3, 9.0.0, 10.1.0)

CVE-2025-29891 [Vulners]
CVSS V3.1: 4.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache camel (<3.22.4, <4.8.5, <4.10.2)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059, T1071.001, T1190, T1210, T1505.003, T1608.001

IOCs:
File: 4
IP: 30
Hash: 2

Soft:
Apache Tomcat

Algorithms:
sha256

Languages:
java

Links:
https://github.com/apache/tomcat
https://github.com/projectdiscovery/nuclei-templates/
https://github.com/apache/camel
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В марте 2025 года критические уязвимости (CVE-2025-24813, CVE-2025-27636, CVE-2025-29891) в Apache Tomcat и Camel позволили удаленно выполнять код с помощью специально созданных HTTP-запросов, что повлияло на определенные версии. После раскрытия информации было задокументировано более 125 000 попыток сканирования, что свидетельствует об активных попытках хакеров использовать систему в своих целях, что требует оперативного внесения исправлений организациями.
-----

В марте 2025 года Apache Software Foundation раскрыла критические уязвимости, затрагивающие Apache Tomcat и Apache Camel, в частности, CVE-2025-24813, CVE-2025-27636 и CVE-2025-29891. CVE-2025-24813 позволяет злоумышленникам удаленно выполнять произвольный код из-за ошибки в функции сохранения сеанса Apache Tomcat, которая хранит сериализованные данные сеанса. Уязвимость затрагивает версии Tomcat в диапазоне от 9.0.0.M1 до 9.0.98, от 10.1.0-M1 до 10.1.34 и от 11.0.0-M1 до 11.0.2. Злоумышленники могут перезаписывать сериализованные файлы сеансов на диске с помощью созданных HTTP-запросов PUT, что позволяет им управлять идентификаторами сеансов и именами файлов для запуска десериализации вредоносного кода.

Чтобы воспользоваться этой уязвимостью, злоумышленник сначала отправляет полезную информацию, содержащую сериализованный вредоносный код, с помощью HTTP-запроса PUT. Уязвимый экземпляр Tomcat кэширует этот вредоносный код, который хранится под именем файла .session. Впоследствии злоумышленник запускает эксплойт с помощью HTTP-запроса GET, который включает специально созданный файл cookie JSESSIONID, чтобы инициировать десериализацию кэшированного файла, выполняя встроенный вредоносный код. Этот метод подчеркивает важность HTTP-заголовка Content-Range при использовании.

Уязвимости в Apache Camel позволяют выполнять аналогичный удаленный код из-за недостатков, выявленных в версиях с 3.10.0 по 3.22.3, и связаны с функциями маршрутизации сообщений в программном обеспечении. Этим можно воспользоваться, указав заголовки, которые манипулируют командами выполнения. Обе уязвимости демонстрируют всплеск активности в области сканирования и зондирования после раскрытия информации: вскоре после объявления об уязвимостях по всему миру было зарегистрировано более 125 000 попыток сканирования. Исследования подтвердили наличие активной эксплуатации, что подчеркивает необходимость оперативного применения организациями имеющихся исправлений.

Palo Alto Networks сообщила о значительном количестве заблокированных попыток эксплойта, связанных с этими уязвимостями, что указывает на широко распространенные попытки хакеров использовать эти недостатки для несанкционированного доступа. Наблюдаемые закономерности использования позволяют предположить, что злоумышленники используют такие инструменты, как Nuclears Scanner, позволяющие упростить обнаружение этих уязвимостей и остающиеся серьезной проблемой для организаций, использующих уязвимые версии программного обеспечения. Организациям рекомендуется обеспечить своевременное внедрение всех исправлений безопасности для снижения рисков, связанных с этими уязвимостями.

#ParsedReport #CompletenessMedium
04-07-2025

Janela RAT and a stealer extension delivered together

https://medium.com/walmartglobaltech/janela-rat-and-a-stealer-extension-delivered-together-e274469a7df8?source=rss-36e34fe15919------2

Report completeness: Medium

Threats:
Janela_rat
Terminator_tool
Dotnet_reactor_tool
Eziriz_tool

Geo:
Latam

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1059.003, T1071.001, T1105, T1119, T1136

IOCs:
Url: 7
Hash: 8
File: 25
Domain: 3
Path: 1

Soft:
Chromium, chrome

Algorithms:
base64, zip, deflate

Functions:
Remove-Item, loadConfig, collectReresh, Date

Win API:
getSystemInfo

Languages:
golang, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Janela РАТ, связанная с BX RAT, нацелена на пользователей в Латинской Америке с помощью вредоносных расширений для браузера, которые извлекают конфиденциальные данные. Он использует сложный метод развертывания, включающий исполняемый файл GoLang и сценарии PowerShell, взаимодействует со своим сервером C2 через WebSocket и использует методы обфускации для уклонения.
-----

Сообщается, что Janela RAT, идентифицированная как вариант BX RAT, ориентирована на пользователей в Латинской Америке. Исследование последних кампаний показало, что Janela поставляется вместе с вредоносным расширением для браузера, предназначенным для извлечения конфиденциальных данных. Кампания включает в себя сложные методы работы в браузерах на базе Chromium, использующие различные типы файлов, включая пакетные сценарии DOS и ZIP-архивы.

ZIP-архив содержит важные элементы: расширение для браузера и исполняемый файл Janela RAT под названием LPrKz6y2fG.exe, созданный на GoLang. Примечательно, что в исполняемом файле содержится пароль для ZIP-файла, что позволяет повысить степень запутывания и безопасности. Развертывание включает в себя сценарии, облегчающие распаковку файла и создание сценария PowerShell, который запускает выполнение двоичного файла GoLang.

Janela RAT взаимодействует со своим сервером управления (C2) через WebSocket и в значительной степени использует Chrome.runtime API для выполнения команд. Для обработки команд, отправляемых с C2, была реализована специальная функциональность, позволяющая эффективно обрабатывать их с помощью исполняемого файла, который генерирует результаты. Важной особенностью этого RAT является его обфусцированный код, использующий ресурсы, предоставляемые Eziriz .NET reactor, хотя известны методы деобфусцирования его двоичного кода.

Конфигурация, генерируемая вредоносной программой, включает в себя список хранилищ, необходимых для поддержания текущих коммуникаций C2. Высокоорганизованное и многоуровневое развертывание Janela RAT демонстрирует намерение злоумышленника скомпрометировать системы с помощью различных тактических приемов, обеспечивая устойчивость и уклонение от механизмов обнаружения.

#ParsedReport #CompletenessLow
04-07-2025

Amos hiding in GitHub

https://medium.com/walmartglobaltech/amos-hiding-in-github-199eabea6605?source=rss-36e34fe15919------2

Report completeness: Low

Threats:
Amos_stealer

ChatGPT TTPs:
do not use without manual check
T1027, T1059.002, T1082, T1105, T1140, T1497.001

IOCs:
Hash: 3
File: 7
Url: 1
Domain: 4

Soft:
QEMU, Ledger Live, LEDGER-LIVE

Algorithms:
zip, base64, xor

Functions:
getUsernameParam

Platforms:
arm, x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная программа AMOS демонстрирует сложное поведение, перемещая файл ".touchblock" для запуска, используя пользовательскую кодировку base64, чтобы избежать обнаружения. Она проверяет наличие виртуальных сред с помощью "osascript" и использует правило YARA для идентификации, связанное с поддельным приложением Ledger Live для распространения.
-----

Недавний анализ кампаний AMOS выявил образец сложной вредоносной программы, демонстрирующей заметное поведение. На начальном этапе необходимо переместить встроенный файл ".touchblock" во временную папку, где он впоследствии будет запущен. Этот файл содержит версии вредоносной программы AMOS как для x64, так и для ARM64. Механизм декодирования включает в себя разделение данных на три блока одинакового размера с последующим декодированием в base64 с помощью специально определенного пользовательского алфавита.

Сценарий развертывает проверку с использованием "osascript", взаимодействуя с командами профилирования системы, чтобы определить, является ли среда виртуальной машиной или конкретной аппаратной настройкой, связанной с устройствами Mac. Если найдены определенные ключевые слова или идентификаторы, такие как "QEMU", "VMware" или предопределенные идентификаторы оборудования, для кода завершения устанавливается значение 100, сигнализирующее о завершении; в противном случае код завершения остается равным 0, что позволяет продолжить выполнение.

Что касается методик обнаружения, то было определено правило YARA под названием "amos" с конкретными байтовыми шаблонами, направленными на идентификацию вредоносного ПО. При сканировании необработанных данных функция `yara_scan` проверяет соответствие правилам YARA и применяет к обнаруженным образцам расшифровку методом исключения. Примечательно, что анализ также показывает, что вредоносная программа использует нетрадиционный метод кодирования base64 в сочетании с пользовательским алфавитом, чтобы избежать простого обнаружения.

Серверы управления вредоносной программой (C2) оперативно подключены к развертыванию поддельного приложения Ledger Live, упакованного в архив `app.zip`, который содержит установщик для версии AMOS. Это подтверждает сложный, многоуровневый подход AMOS как к методам распространения, так и к исполнению, подчеркивая важность мониторинга этих специфических показателей в защите кибербезопасности. В целом, природа AMOS указывает на высокоадаптивную и сложную структуру угроз, которая использует как методы кодирования, так и проверки окружающей среды, чтобы максимизировать свои шансы на то, что она останется незамеченной.

#ParsedReport #CompletenessHigh
04-07-2025

Shadow Vector targets Colombian users via privilege escalation and court-themed SVG decoys

https://www.acronis.com/en-us/tru/posts/shadow-vector-targets-colombian-users-via-privilege-escalation-and-court-themed-svg-decoys/

Report completeness: High

Actors/Campaigns:
Shadow_vector (motivation: financially_motivated, cyber_criminal, information_theft)

Threats:
Asyncrat
Dll_sideloading_technique
Spear-phishing_technique
Katz_loader
Uac_bypass_technique
Process_injection_technique
Smuggling_technique
Dllsearchorder_hijacking_technique
Process_hollowing_technique
Killproxy_tool
Anydesk_tool
Remcos_rat
Zemana_tool
Icarus
Putty_tool

Victims:
Individuals, Organizations, Judicial employees, Citizens

Industry:
Financial, Transport

Geo:
Spanish, Colombia, French, Brazilian, Latin american, Japanese, Portuguese, Brazil, Spain, Latin america, Colombian

CVEs:
CVE-2022-42045 [Vulners]
CVSS V3.1: 6.7,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- watchdog anti-virus (4.1.422)
- zemana antimalware (3.2.28)

CVE-2023-1486 [Vulners]
CVSS V3.1: 4.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- wisecleaner wise_force_deleter (1.5.3.54)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1001, T1003.001, T1012, T1021.001, T1027, T1027.002, T1027.003, T1036.005, T1053.005, T1055, have more...

IOCs:
Hash: 161
File: 30
Domain: 1
Coin: 1
Command: 3
Path: 1

Soft:
Dropbox, Discord, VirtualBox, Ledger_Live, Chrome

Wallets:
ergo_wallet, exodus_wallet, coinomi, bitcoincore

Crypto:
binance

Algorithms:
rc4, base64, sha256, zip, xor, aes

Functions:
BrotliEncoderCreateInstance, Windows, ProcessStartInfo, SetWindowsHookEx, HookCallback, Plugins

Win API:
NtAllocateVirtualMemory, GetProcessHeap, RtlAllocateHeap, NtWriteVirtualMemory, NtResumeThread, CheckRemoteDebuggerPresent, Decompress, GetFileVersionInfoSizeW, GetProcAddress, Process32First, have more...

Win Services:
ekrn, mfemms, McShield, AvastSvc, MsMpEng

Languages:
powershell, javascript

YARA: Found

Links:
https://github.com/Securityinbits/AsyncRAT-Analysis/blob/main/CyberChef\_Recipe.md
https://github.com/Neo23x0/signature-base/blob/master/yara/mal\_katz\_stealer.yar

#ParsedReport #ExtractedSchema

Classified images:
dump: 5, windows: 4, schema: 2, code: 7

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания Shadow Vector нацелена на колумбийских пользователей с помощью фишинговых электронных писем, содержащих вредоносные SVG-файлы, которые загружают полезную нагрузку, такую как AsyncRAT, используя для выполнения стороннюю загрузку DLL. В нем реализованы передовые методы обхода, меры по предотвращению анализа и постоянство выполнения запланированных задач и внесения изменений в реестр с упором на кейлоггинг и эксфильтрацию данных. В последних обновлениях представлены усовершенствованные загрузчики, работающие в памяти, и методы обхода контроля учетных записей, что указывает на растущую изощренность местных хакеров.
-----

Было обнаружено, что текущая вредоносная кампания под названием Shadow Vector активно нацелена на пользователей в Колумбии с помощью вредоносных файлов SVG, замаскированных под официальные уведомления. Фишинговые электронные письма, выдающие себя за доверенные учреждения, используют эту тактику, используя контрабанду SVG, чтобы скрыть вредоносный контент, но при этом выглядеть правдоподобно. Файлы SVG, известные своей способностью отображаться без срабатывания фильтров безопасности в системах электронной почты, используются для распространения полезной информации с помощью ссылок на удаленные скрипты или ZIP-файлы, защищенные паролем. Эти архивы обычно содержат набор доброкачественных и вредоносных файлов, часто включающих библиотеки DLL, связанные со средствами удаленного доступа (RATs), такими как AsyncRAT и Remc, которые предоставляются с помощью сторонней загрузки библиотек DLL и методов повышения привилегий.

Злоумышленники используют многоступенчатую цепочку заражения, начиная с файлов JavaScript, выдаваемых за юридические уведомления, которые впоследствии загружают дополнительные скрипты, извлекающие библиотеки DLL в кодировке base64 из онлайн-источников, включая общедоступные файлообменные сервисы. В процессе заражения используется сторонняя загрузка библиотеки DLL, когда исполняемый файл-приманка загружает вредоносную библиотеку DLL, которая позволяет выполнять полезную нагрузку AsyncRAT. Этот метод использует порядок поиска библиотеки DLL в Windows для загрузки вредоносной версии библиотеки DLL из каталога, контролируемого злоумышленником, в рамках, казалось бы, законного процесса, реализуя удаление процесса для выполнения вредоносного кода в надежных средах.

Вредоносная программа обладает расширенными возможностями, включая средства антианализа и проверку среды безопасности, что гарантирует ее скрытную работу. Она обеспечивает постоянство работы с помощью запланированных задач и изменений реестра, что позволяет ей запускаться с повышенными привилегиями при запуске системы. Функциональность вредоносного ПО включает в себя кейлоггинг, утечку данных и кражу учетных данных, в частности, нацеленных на конфиденциальные данные, такие как банковская информация. Кроме того, код включает избыточность для командно-контрольных коммуникаций (C2), гарантируя, что в случае сбоя одного метода подключения он попытается использовать другие, тем самым сохраняя свою работоспособность.

В последних версиях кампании был применен обновленный подход, еще более усовершенствовавший методы уклонения с помощью сложных загрузчиков, которые работают исключительно в памяти. Недавние кампании включают в себя такие элементы, как обход контроля учетных записей и динамическая загрузка полезной нагрузки, а строки на португальском языке указывают на ссылки на аналогичные разработки в соседних регионах, особенно в Бразилии. Этот меняющийся ландшафт угроз свидетельствует о растущей изощренности региональных хакеров, демонстрирующих свою оперативную гибкость и способность к крупномасштабным фишинговым атакам при одновременном использовании общедоступных платформ для противодействия усилиям по обнаружению и установлению авторства.

#ParsedReport #CompletenessLow
04-07-2025

Introduction

https://www.wiz.io/blog/exposed-jdwp-exploited-in-the-wild

Report completeness: Low

Threats:
Xmrig_miner

Victims:
Wiz research team (honeypot server owners)

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.003, T1046, T1053.003, T1059.004, T1070.004, T1105, T1190, T1496, T1543.002, T1547.001, have more...

IOCs:
File: 4
Hash: 9
IP: 7
Url: 4

Soft:
TeamCity, JetBrains, Jenkins, Selenium, Apache Tomcat, curl, systemd, sudo, Linux, crontab, have more...

Algorithms:
sha1

Functions:
exec, CreateString, add_to_startup

Languages:
java

Links:
https://github.com/IOActive/jdwp-shellifier

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Неправильно сконфигурированный интерфейс Java Debug Wire Protocol (JDWP) позволил злоумышленнику удаленно выполнять команды на сервере TeamCity, что привело к развертыванию полезной нагрузки для криптодобычи. Злоумышленник использовал класс Java Runtime для запуска сценария оболочки для установки майнера криптовалюты XMRig и создания механизмов сохранения, избегая обнаружения с помощью маскировки и модификации системных служб.
-----

Исследовательская группа Wiz выявила попытку использования удаленного выполнения кода (RCE), направленную на сервер honeypot под управлением TeamCity, чему способствовал открытый интерфейс Java Debug Wire Protocol (JDWP). JDWP, инструмент отладки Java—приложений, стал точкой входа для злоумышленника из-за его неправильной настройки - в первую очередь из-за отсутствия аутентификации и контроля доступа при выходе в Интернет. Это позволило злоумышленнику удаленно выполнять произвольные команды, что позволило развернуть полезную нагрузку для криптомайнинга вскоре после того, как уязвимый компьютер стал доступен.

Получив доступ к honeypot, злоумышленник подтвердил, что интерфейс JDWP активен, отправив запрос на подтверждение связи. Это взаимодействие не только подтвердило работоспособность интерфейса, но и предоставило подробную информацию о процессе Java и загруженных в него классах. Впоследствии злоумышленник вызвал системные команды, используя класс Java Runtime class, для выполнения сценария оболочки с именем logservice.sh. Этот сценарий был разработан для отключения конкурирующих процессов, удаления модифицированной версии XMRig (майнера криптовалюты) и установки механизмов сохранения в различных файлах конфигурации оболочки и запланированных задачах.

Внедренный скрипт logservice.sh выполнял множество функций, включая завершение задач с высокой загрузкой процессора и обеспечение автоматического запуска вредоносного майнера при запуске системы, перезагрузке и через запланированные промежутки времени. Он использовал тактику, позволяющую избежать обнаружения, используя имя, похожее на имя законной службы logrotate, что еще больше помогло избежать обнаружения. Настраиваемая полезная нагрузка XMRig была жестко запрограммирована для устранения аргументов командной строки, которые могли вызвать предупреждения системы безопасности, что повысило ее скрытность во время работы.

Что касается стойкости, злоумышленник использовал различные методы, такие как модификация загрузочных скриптов на основе дистрибутива Linux и создание поддельной службы systemd, маскирующейся под logrotate, указывающей на их вредоносный двоичный файл с целью постоянных перезапусков. Внедрение этих механизмов сохранения данных свидетельствует о растущей изощренности хакеров в поддержании контроля над скомпрометированными средами.

Датчик Wiz Runtime Sensor активно обнаруживает этот тип взлома, отслеживая конкретные события и поведение, связанные с атакой, и отслеживая каждый шаг от первоначального использования до активных операций по криптодобыче. Использование собственных правил YARA позволяет обнаруживать возникающие угрозы, фиксировать изменения, внесенные в системные службы, и выполнение вредоносного ПО. Этот инцидент подчеркивает критические последствия неправильно сконфигурированных интерфейсов JDWP и модели быстрого использования, наблюдаемые в современных условиях кибербезопасности.

#ParsedReport #CompletenessHigh
02-07-2025

June's Dark Gift: The Rise of Qwizzserial

https://www.group-ib.com/blog/rise-of-qwizzserial/

Report completeness: High

Threats:
Qwizzserial
Sms_stealer
Classiscam
Ajina
Allatori_technique

Victims:
Banking users, General users

Industry:
Government, Financial

Geo:
Asia, Uzbekistan

TTPs:
Tactics: 11
Technics: 10

IOCs:
Hash: 1274
Url: 1
Domain: 1

Soft:
Telegram, Android, Google Play

Algorithms:
zip, sha1

Languages:
kotlin, java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Семейство вредоносных программ Qwizzserial нацелено на пользователей Android в Узбекистане и выполняет функцию перехватчика SMS-сообщений для перехвата конфиденциальной информации, такой как банковские реквизиты и коды 2FA. Оно использует тактику социальной инженерии, маскируясь под законные приложения, и использует Telegram для связи C2. Вредоносная программа отслеживает SMS-сообщения на предмет денежных переводов и использует простой код с расширенными запросами разрешений для извлечения данных.
-----

Вредоносная программа Qwizzserial нацелена на пользователей Android и выполняет функцию похитителя SMS-сообщений, извлекая конфиденциальные данные, такие как банковские реквизиты и коды 2FA. Она взаимодействует с серверами управления, используя ботов Telegram для распространения приложений. Вредоносная программа использует тактику социальной инженерии, выдавая себя за легальные приложения с обманчивыми названиями для распространения. Она заразила около 100 000 пользователей, что привело к финансовым потерям на сумму более 62 000 долларов США в течение трех месяцев. Qwizzserial, написанный на Kotlin, не запутывается и запрашивает обширные разрешения на отправку SMS и звонков. Он отслеживает входящие SMS-сообщения на предмет наличия сообщений, связанных с большими суммами или OTP, и извлекает данные через Telegram Bot API. Qwizzserial отправляет USSD-запросы для получения информации, связанной с устройством, используя жестко запрограммированные команды для узбекских сетей. Он демонстрирует устойчивость и адаптивность, а последние обновления улучшили его работоспособность за счет изменения настроек оптимизации заряда батареи. Пользователям рекомендуется избегать загрузки приложений из ненадежных источников и полагаться на авторитетные платформы, такие как Google Play.

#ParsedReport #CompletenessLow
04-07-2025

Malvertising Campaign Delivers Oyster/Broomstick Backdoor via SEO Poisoning and Trojanized Tools

https://arcticwolf.com/resources/blog/malvertising-campaign-delivers-oyster-broomstick-backdoor-via-seo-poisoning-trojanized-tools/

Report completeness: Low

Threats:
Seo_poisoning_technique
Oyster
Putty_tool

Victims:
It professionals, Users, It staff

ChatGPT TTPs:
do not use without manual check
T1053.005, T1189, T1195.001, T1204.002, T1218.011, T1574.002

IOCs:
File: 2
Domain: 5

Soft:
WinSCP

Win API:
DllRegisterServer

#ParsedReport #GeneratedSchema
Generated with GPT-4