#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания Shadow Vector нацелена на колумбийских пользователей с помощью фишинговых электронных писем, содержащих вредоносные SVG-файлы, которые загружают полезную нагрузку, такую как AsyncRAT, используя для выполнения стороннюю загрузку DLL. В нем реализованы передовые методы обхода, меры по предотвращению анализа и постоянство выполнения запланированных задач и внесения изменений в реестр с упором на кейлоггинг и эксфильтрацию данных. В последних обновлениях представлены усовершенствованные загрузчики, работающие в памяти, и методы обхода контроля учетных записей, что указывает на растущую изощренность местных хакеров.
-----

Было обнаружено, что текущая вредоносная кампания под названием Shadow Vector активно нацелена на пользователей в Колумбии с помощью вредоносных файлов SVG, замаскированных под официальные уведомления. Фишинговые электронные письма, выдающие себя за доверенные учреждения, используют эту тактику, используя контрабанду SVG, чтобы скрыть вредоносный контент, но при этом выглядеть правдоподобно. Файлы SVG, известные своей способностью отображаться без срабатывания фильтров безопасности в системах электронной почты, используются для распространения полезной информации с помощью ссылок на удаленные скрипты или ZIP-файлы, защищенные паролем. Эти архивы обычно содержат набор доброкачественных и вредоносных файлов, часто включающих библиотеки DLL, связанные со средствами удаленного доступа (RATs), такими как AsyncRAT и Remc, которые предоставляются с помощью сторонней загрузки библиотек DLL и методов повышения привилегий.

Злоумышленники используют многоступенчатую цепочку заражения, начиная с файлов JavaScript, выдаваемых за юридические уведомления, которые впоследствии загружают дополнительные скрипты, извлекающие библиотеки DLL в кодировке base64 из онлайн-источников, включая общедоступные файлообменные сервисы. В процессе заражения используется сторонняя загрузка библиотеки DLL, когда исполняемый файл-приманка загружает вредоносную библиотеку DLL, которая позволяет выполнять полезную нагрузку AsyncRAT. Этот метод использует порядок поиска библиотеки DLL в Windows для загрузки вредоносной версии библиотеки DLL из каталога, контролируемого злоумышленником, в рамках, казалось бы, законного процесса, реализуя удаление процесса для выполнения вредоносного кода в надежных средах.

Вредоносная программа обладает расширенными возможностями, включая средства антианализа и проверку среды безопасности, что гарантирует ее скрытную работу. Она обеспечивает постоянство работы с помощью запланированных задач и изменений реестра, что позволяет ей запускаться с повышенными привилегиями при запуске системы. Функциональность вредоносного ПО включает в себя кейлоггинг, утечку данных и кражу учетных данных, в частности, нацеленных на конфиденциальные данные, такие как банковская информация. Кроме того, код включает избыточность для командно-контрольных коммуникаций (C2), гарантируя, что в случае сбоя одного метода подключения он попытается использовать другие, тем самым сохраняя свою работоспособность.

В последних версиях кампании был применен обновленный подход, еще более усовершенствовавший методы уклонения с помощью сложных загрузчиков, которые работают исключительно в памяти. Недавние кампании включают в себя такие элементы, как обход контроля учетных записей и динамическая загрузка полезной нагрузки, а строки на португальском языке указывают на ссылки на аналогичные разработки в соседних регионах, особенно в Бразилии. Этот меняющийся ландшафт угроз свидетельствует о растущей изощренности региональных хакеров, демонстрирующих свою оперативную гибкость и способность к крупномасштабным фишинговым атакам при одновременном использовании общедоступных платформ для противодействия усилиям по обнаружению и установлению авторства.

#ParsedReport #CompletenessLow
04-07-2025

Introduction

https://www.wiz.io/blog/exposed-jdwp-exploited-in-the-wild

Report completeness: Low

Threats:
Xmrig_miner

Victims:
Wiz research team (honeypot server owners)

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.003, T1046, T1053.003, T1059.004, T1070.004, T1105, T1190, T1496, T1543.002, T1547.001, have more...

IOCs:
File: 4
Hash: 9
IP: 7
Url: 4

Soft:
TeamCity, JetBrains, Jenkins, Selenium, Apache Tomcat, curl, systemd, sudo, Linux, crontab, have more...

Algorithms:
sha1

Functions:
exec, CreateString, add_to_startup

Languages:
java

Links:
https://github.com/IOActive/jdwp-shellifier

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Неправильно сконфигурированный интерфейс Java Debug Wire Protocol (JDWP) позволил злоумышленнику удаленно выполнять команды на сервере TeamCity, что привело к развертыванию полезной нагрузки для криптодобычи. Злоумышленник использовал класс Java Runtime для запуска сценария оболочки для установки майнера криптовалюты XMRig и создания механизмов сохранения, избегая обнаружения с помощью маскировки и модификации системных служб.
-----

Исследовательская группа Wiz выявила попытку использования удаленного выполнения кода (RCE), направленную на сервер honeypot под управлением TeamCity, чему способствовал открытый интерфейс Java Debug Wire Protocol (JDWP). JDWP, инструмент отладки Java—приложений, стал точкой входа для злоумышленника из-за его неправильной настройки - в первую очередь из-за отсутствия аутентификации и контроля доступа при выходе в Интернет. Это позволило злоумышленнику удаленно выполнять произвольные команды, что позволило развернуть полезную нагрузку для криптомайнинга вскоре после того, как уязвимый компьютер стал доступен.

Получив доступ к honeypot, злоумышленник подтвердил, что интерфейс JDWP активен, отправив запрос на подтверждение связи. Это взаимодействие не только подтвердило работоспособность интерфейса, но и предоставило подробную информацию о процессе Java и загруженных в него классах. Впоследствии злоумышленник вызвал системные команды, используя класс Java Runtime class, для выполнения сценария оболочки с именем logservice.sh. Этот сценарий был разработан для отключения конкурирующих процессов, удаления модифицированной версии XMRig (майнера криптовалюты) и установки механизмов сохранения в различных файлах конфигурации оболочки и запланированных задачах.

Внедренный скрипт logservice.sh выполнял множество функций, включая завершение задач с высокой загрузкой процессора и обеспечение автоматического запуска вредоносного майнера при запуске системы, перезагрузке и через запланированные промежутки времени. Он использовал тактику, позволяющую избежать обнаружения, используя имя, похожее на имя законной службы logrotate, что еще больше помогло избежать обнаружения. Настраиваемая полезная нагрузка XMRig была жестко запрограммирована для устранения аргументов командной строки, которые могли вызвать предупреждения системы безопасности, что повысило ее скрытность во время работы.

Что касается стойкости, злоумышленник использовал различные методы, такие как модификация загрузочных скриптов на основе дистрибутива Linux и создание поддельной службы systemd, маскирующейся под logrotate, указывающей на их вредоносный двоичный файл с целью постоянных перезапусков. Внедрение этих механизмов сохранения данных свидетельствует о растущей изощренности хакеров в поддержании контроля над скомпрометированными средами.

Датчик Wiz Runtime Sensor активно обнаруживает этот тип взлома, отслеживая конкретные события и поведение, связанные с атакой, и отслеживая каждый шаг от первоначального использования до активных операций по криптодобыче. Использование собственных правил YARA позволяет обнаруживать возникающие угрозы, фиксировать изменения, внесенные в системные службы, и выполнение вредоносного ПО. Этот инцидент подчеркивает критические последствия неправильно сконфигурированных интерфейсов JDWP и модели быстрого использования, наблюдаемые в современных условиях кибербезопасности.

#ParsedReport #CompletenessHigh
02-07-2025

June's Dark Gift: The Rise of Qwizzserial

https://www.group-ib.com/blog/rise-of-qwizzserial/

Report completeness: High

Threats:
Qwizzserial
Sms_stealer
Classiscam
Ajina
Allatori_technique

Victims:
Banking users, General users

Industry:
Government, Financial

Geo:
Asia, Uzbekistan

TTPs:
Tactics: 11
Technics: 10

IOCs:
Hash: 1274
Url: 1
Domain: 1

Soft:
Telegram, Android, Google Play

Algorithms:
zip, sha1

Languages:
kotlin, java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Семейство вредоносных программ Qwizzserial нацелено на пользователей Android в Узбекистане и выполняет функцию перехватчика SMS-сообщений для перехвата конфиденциальной информации, такой как банковские реквизиты и коды 2FA. Оно использует тактику социальной инженерии, маскируясь под законные приложения, и использует Telegram для связи C2. Вредоносная программа отслеживает SMS-сообщения на предмет денежных переводов и использует простой код с расширенными запросами разрешений для извлечения данных.
-----

Вредоносная программа Qwizzserial нацелена на пользователей Android и выполняет функцию похитителя SMS-сообщений, извлекая конфиденциальные данные, такие как банковские реквизиты и коды 2FA. Она взаимодействует с серверами управления, используя ботов Telegram для распространения приложений. Вредоносная программа использует тактику социальной инженерии, выдавая себя за легальные приложения с обманчивыми названиями для распространения. Она заразила около 100 000 пользователей, что привело к финансовым потерям на сумму более 62 000 долларов США в течение трех месяцев. Qwizzserial, написанный на Kotlin, не запутывается и запрашивает обширные разрешения на отправку SMS и звонков. Он отслеживает входящие SMS-сообщения на предмет наличия сообщений, связанных с большими суммами или OTP, и извлекает данные через Telegram Bot API. Qwizzserial отправляет USSD-запросы для получения информации, связанной с устройством, используя жестко запрограммированные команды для узбекских сетей. Он демонстрирует устойчивость и адаптивность, а последние обновления улучшили его работоспособность за счет изменения настроек оптимизации заряда батареи. Пользователям рекомендуется избегать загрузки приложений из ненадежных источников и полагаться на авторитетные платформы, такие как Google Play.

#ParsedReport #CompletenessLow
04-07-2025

Malvertising Campaign Delivers Oyster/Broomstick Backdoor via SEO Poisoning and Trojanized Tools

https://arcticwolf.com/resources/blog/malvertising-campaign-delivers-oyster-broomstick-backdoor-via-seo-poisoning-trojanized-tools/

Report completeness: Low

Threats:
Seo_poisoning_technique
Oyster
Putty_tool

Victims:
It professionals, Users, It staff

ChatGPT TTPs:
do not use without manual check
T1053.005, T1189, T1195.001, T1204.002, T1218.011, T1574.002

IOCs:
File: 2
Domain: 5

Soft:
WinSCP

Win API:
DllRegisterServer

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя кампания по SEO-атакам и недобросовестной рекламе приводит пользователей на вредоносные сайты, на которых размещаются троянские ИТ-инструменты, такие как PuTTY и WinSCP, устанавливающие бэкдор "Oyster" или "Broomstick". Этот бэкдор обеспечивает постоянство с помощью запланированной задачи, которая вызывает вредоносную библиотеку DLL, позволяя злоумышленникам сохранять доступ.
-----

Компания Arctic Wolf сообщила о хакерской атаке, связанной с кампанией по поисковой оптимизации (SEO), которая началась в начале июня 2025 года. Эта кампания направляет пользователей на вредоносные веб-сайты, на которых размещены троянские версии законных ИТ-инструментов, в частности, таких программ, как PuTTY и WinSCP. Основная цель этих поддельных сайтов - обманом заставить ИТ-специалистов и других пользователей загружать и запускать скомпрометированные установщики.

После запуска троянского установщика он устанавливает бэкдор, известный как Oyster или Broomstick. Этот бэкдор обеспечивает постоянную работу взломанной системы, создавая запланированную задачу, которая выполняется каждые три минуты. Эта задача вызывает вредоносную библиотеку DLL (twain_96.dll) через rundll32.exe, используя метод экспорта DllRegisterServer, что указывает на то, что злоумышленник использует регистрацию библиотеки DLL как часть своего механизма для поддержания доступа. Хотя в настоящее время кампания проводилась только с использованием троянских версий PuTTY и WinSCP, сохраняется угроза того, что в будущем могут быть использованы и другие легальные инструменты.

Чтобы снизить риски, связанные с этой кампанией, Arctic Wolf рекомендует пользователям, особенно ИТ-специалистам, не полагаться на поисковые системы для загрузки инструментов администрирования. Вместо этого они рекомендуют использовать проверенные внутренние хранилища или напрямую обращаться к официальным веб-сайтам поставщиков. Ожидается, что такая практика позволит свести к минимуму угрозу, связанную с SEO-атаками и вредоносной рекламой. Кроме того, Arctic Wolf рекомендовал заблокировать определенные домены, связанные с этой вредоносной деятельностью, чтобы предотвратить доступ пользователей к этим зараженным источникам загрузки, тем самым снижая риск заражения троянскими программами. Внимание, уделяемое блокировке доменов, подчеркивает необходимость принятия упреждающих мер для защиты от этого начинающего хакера.

#ParsedReport #CompletenessLow
04-07-2025

How Much More Must We Bleed? - Citrix NetScaler Memory Disclosure (CitrixBleed 2 CVE-2025-5777)

https://labs.watchtowr.com/how-much-more-must-we-bleed-citrix-netscaler-memory-disclosure-citrixbleed-2-cve-2025-5777/

Report completeness: Low

Threats:
Citrix_bleed_vuln

CVEs:
CVE-2025-5777 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2023-4966 [Vulners]
CVSS V3.1: 9.4,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler_application_delivery_controller (<12.1-55.300, <13.0-92.19, <13.1-37.164, <13.1-49.15, <14.1-8.50)
- citrix netscaler_gateway (<13.0-92.19, <13.1-49.15, <14.1-8.50)

CVE-2025-6543 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler_application_delivery_controller (<13.1-37.236, <13.1-59.19, <14.1-47.46)


ChatGPT TTPs:
do not use without manual check
T1003, T1040, T1203, T1557.003

Soft:
ChatGPT, Bindiff

Functions:
ReadOnly

Languages:
c_language

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-5777 - это критическая уязвимость в Citrix NetScaler, которая возникает из-за недостаточной проверки введенных данных, что приводит к утечкам памяти, которые могут привести к раскрытию конфиденциальной информации. Злоумышленники могут воспользоваться этим, манипулируя заголовком User-Agent для доступа к неинициализированным буферам, аналогично уязвимости CitrixBleed.
-----

CVE-2025-5777 - это серьезная уязвимость, обнаруженная в Citrix NetScaler при настройке в качестве шлюза или виртуального сервера AAA. Эта проблема возникает из-за недостаточной проверки ввода, что может привести к уязвимостям избыточного чтения из памяти, потенциально позволяющим злоумышленникам получить доступ к конфиденциальной информации. Механизм этой уязвимости указывает на утечку памяти, связанную с неинициализированной локальной переменной во внутреннем анализаторе, которая, как ожидается, будет содержать имя пользователя из параметров входа. Эта ситуация имеет сходство с предыдущей уязвимостью, известной как CitrixBleed (CVE-2023-4966), которая вызывала серьезные проблемы с безопасностью из-за возможности ее использования для перехвата сеанса.

Исследование CVE-2025-5777 показало, что, манипулируя параметрами HTTP-запроса, в частности заголовком User-Agent, злоумышленники могут спровоцировать утечку памяти. Повторная отправка строки "watchTowr" в качестве части заголовка User-Agent была методом, используемым для повышения шансов на получение соответствующих данных из этого неинициализированного буфера. Непредсказуемость утечек памяти требует длительного тестирования, поскольку более длительное время выполнения может привести к более значительным открытиям, особенно в производственных средах, где используются VPN-соединения. Это понимание подчеркивает риск, связанный с нерешенными уязвимостями в системах управления удаленным доступом, и иллюстрирует текущие проблемы в области кибербезопасности, связанные с недостатками в управлении памятью и непроверенным пользовательским вводом.

#ParsedReport #CompletenessLow
05-07-2025

Exploiting Trust: How Signed Drivers Fuel Modern Kernel Level Attacks on Windows

https://www.group-ib.com/blog/kernel-driver-threats/

Report completeness: Low

Threats:
Krbanker
Fivesys
Fk_undead
Lockbit
Poortry
Reddriver
Copperstealer
Terminator_tool

Industry:
Government, E-commerce, Financial, Petroleum

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1014, T1027, T1036.005, T1068, T1105, T1218.011, T1497.003, T1543.003, T1562.001, T1588.003, have more...

Soft:
Windows Kernel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники все чаще используют загрузчики ядра Windows и подписанные драйверы для получения привилегированного доступа, что позволяет обходить меры безопасности. С 2020 года появилось более 620 вредоносных драйверов, связанных с различными атаками, что привело к значительному дублированию инфраструктуры подписи и выявлению уязвимостей при выдаче сертификатов. Для устранения этих сложных угроз необходимы усиленные меры безопасности, поскольку злоумышленники продолжают использовать подпольные рынки для приобретения механизмов подписи.
-----

Киберпреступники все чаще используют загрузчики ядра Windows и драйверы с цифровой подписью, чтобы получить привилегированный доступ и сохранить контроль над скомпрометированными системами. Вредоносное ПО уровня ядра, которое работает на уровне ring 0, позволяет злоумышленникам отключать средства безопасности и избегать обнаружения, что позволяет проводить расширенные операции с угрозами. С 2020 года наблюдается заметный рост числа таких атак: более 620 вредоносных драйверов были связаны с различными кампаниями, использующими более 80 сертификатов и многочисленные учетные записи программы совместимости оборудования Windows (WHCP).

Злоумышленники используют подписанные драйверы для управления критически важными функциями операционной системы, внедряясь в системы со значительными привилегиями. Ключевые функции безопасности, предназначенные для противодействия этим угрозам, включают PatchGuard, принудительное использование сигнатур драйверов, защиту от вредоносных программ на ранней стадии запуска и целостность кода, защищенную гипервизором, - все это позволяет ограничить несанкционированное выполнение кода. Однако хакеры адаптировались, часто используя подпольные сервисы, которые предоставляют доступ к этим механизмам подписи для создания вредоносных программ на уровне ядра.

Анализ более 600 вредоносных драйверов, подписанных Group-IB, показал, что около 32% из них действовали как загрузчики, извлекая полезную информацию с серверов управления или сохраняя ее локально. Одним из примечательных примеров является эволюция банковского трояна Blackmoon, который интегрировал драйвер Hugo, способный расшифровывать и загружать неподписанные драйверы при выполнении различных задач в области памяти и сети.

Расследование также выявило значительное совпадение инфраструктуры подписи между различными вредоносными кампаниями, причем такие примеры, как POORTRY, были связаны с несколькими семействами программ-вымогателей. С 2020 года наблюдается значительная активность, что привело к использованию целого ряда инструментов и многочисленных сертификатов, особенно тех, которые связаны с китайскими компаниями. Это свидетельствует о систематическом подходе хакеров к злоупотреблению законными процедурами получения этих подписей.

Рынок подпольных сертификатов расширенной проверки (EV) с кодовой подписью вырос, и поставщики предлагают услуги, помогающие хакерам внедрять надежные драйверы, которые могут отключать программное обеспечение безопасности. Такая практика выявляет критические уязвимости в процессе выдачи сертификатов, что требует более строгого контроля за выдачей и механизмов проверки. Способность злоумышленников внедрять подписанное вредоносное ПО на уровне ядра создает постоянные проблемы для обнаружения и подчеркивает необходимость принятия усиленных мер безопасности для устранения этих сложных угроз.

#ParsedReport #CompletenessLow
05-07-2025

XwormRAT distributed using steganography techniques

https://asec.ahnlab.com/ko/88785/

Report completeness: Low

Threats:
Xworm_rat
Steganography_technique
Formbook

ChatGPT TTPs:
do not use without manual check
T1027, T1027.003, T1059.001, T1059.005, T1059.007, T1105, T1140, T1566.001

IOCs:
Hash: 5
Url: 5

Algorithms:
md5, base64

Functions:
replace

Languages:
powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная программа XwormRAT распространяется с помощью фишинговых электронных писем, используя стеганографию изображений в формате JPG, чтобы скрыть свой код выполнения. Она использует VBScript/JavaScript для запуска сценария PowerShell, который загружает дополнительное вредоносное ПО, усложняя его обнаружение. Модифицированные версии вредоносной программы могут выполнять поиск определенных растровых подписей в файлах JPG, что подчеркивает универсальность этого метода и необходимость соблюдать осторожность при работе с неизвестными электронными письмами.
-----

Аналитический центр безопасности AhnLab (ASEC) сообщил, что вредоносная программа XwormRAT распространяется с помощью фишинговых электронных писем, в которых используются методы стеганографии, что усложняет усилия по обнаружению. При первоначальном запуске вредоносного ПО используется код на VBScript или JavaScript, который встраивает вредоносные скрипты в кажущийся безобидным код. Этот исходный скрипт запускает также встроенный в него сценарий PowerShell, предназначенный для загрузки и запуска вредоносного ПО.

Сценарий PowerShell использует кодировку BASE64 вместе с фиктивными символами, которые удаляются во время выполнения, чтобы выявить вредоносную нагрузку. В конечном счете, этот процесс приводит к загрузке и запуску дополнительного вредоносного ПО, размещенного на внешних серверах. Примечательно, что механизм доставки этого вредоносного ПО включает в себя файл изображения в формате JPG, который содержит загрузчик .NET вместе с самим вредоносным кодом. Эта реализация стеганографии предназначена для маскировки вредоносного ПО, что делает его менее узнаваемым для пользователей и систем безопасности.

Было подтверждено, что модифицированные версии вредоносной программы специально предназначены для поиска определенных шаблонов, в частности, подписи растрового изображения в конце файлов JPG. Этот поиск позволяет получить пиксельные данные, из которых извлекаются значения R, G и B, что позволяет вредоносному ПО функционировать аналогично его предыдущим версиям. Это подчеркивает универсальность метода стеганографии, позволяющего применять его для различных типов вредоносных программ, помимо XwormRAT. Поскольку модифицированные версии становятся все более распространенными, ASEC предупреждает пользователей проявлять осторожность при работе с электронными письмами из неизвестных источников, чтобы снизить потенциальные риски, связанные с этими развивающимися угрозами.

#ParsedReport #CompletenessHigh
05-07-2025

XWorm's Shape-Shifting Arsenal: Loader and Stager Variants in the Wild

https://www.splunk.com/en_us/blog/security/xworm-shape-shifting-arsenal-detection-evasion.html

Report completeness: High

Threats:
Xworm_rat
Process_injection_technique
Supply_chain_technique
Asyncrat
Lockbit
Dll_sideloading_technique
Cobalt_strike_tool
Empire_loader

Industry:
Entertainment, Transport

TTPs:

IOCs:
File: 35
Command: 1
Path: 1
Hash: 9

Soft:
Microsoft Defender, Windows Powershell, Windows security, Windows Event Tracing for Windows, Windows Security Center, Slack

Algorithms:
zip, md5, gzip, base64, aes

Functions:
EtwEventWrite, Win32_VideoController, RunDisk

Win API:
AmsiScanBuffer, decompress, capGetDriverDescriptionA

Languages:
dotnet, javascript, cscript, powershell

Links:
https://github.com/splunk/attack\_data/
https://gist.github.com/tccontre/2e4508f7fd308a6d6e64aa56ff5ad50e
have more...
https://github.com/splunk/security\_content