#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Неправильно сконфигурированный интерфейс Java Debug Wire Protocol (JDWP) позволил злоумышленнику удаленно выполнять команды на сервере TeamCity, что привело к развертыванию полезной нагрузки для криптодобычи. Злоумышленник использовал класс Java Runtime для запуска сценария оболочки для установки майнера криптовалюты XMRig и создания механизмов сохранения, избегая обнаружения с помощью маскировки и модификации системных служб.
-----

Исследовательская группа Wiz выявила попытку использования удаленного выполнения кода (RCE), направленную на сервер honeypot под управлением TeamCity, чему способствовал открытый интерфейс Java Debug Wire Protocol (JDWP). JDWP, инструмент отладки Java—приложений, стал точкой входа для злоумышленника из-за его неправильной настройки - в первую очередь из-за отсутствия аутентификации и контроля доступа при выходе в Интернет. Это позволило злоумышленнику удаленно выполнять произвольные команды, что позволило развернуть полезную нагрузку для криптомайнинга вскоре после того, как уязвимый компьютер стал доступен.

Получив доступ к honeypot, злоумышленник подтвердил, что интерфейс JDWP активен, отправив запрос на подтверждение связи. Это взаимодействие не только подтвердило работоспособность интерфейса, но и предоставило подробную информацию о процессе Java и загруженных в него классах. Впоследствии злоумышленник вызвал системные команды, используя класс Java Runtime class, для выполнения сценария оболочки с именем logservice.sh. Этот сценарий был разработан для отключения конкурирующих процессов, удаления модифицированной версии XMRig (майнера криптовалюты) и установки механизмов сохранения в различных файлах конфигурации оболочки и запланированных задачах.

Внедренный скрипт logservice.sh выполнял множество функций, включая завершение задач с высокой загрузкой процессора и обеспечение автоматического запуска вредоносного майнера при запуске системы, перезагрузке и через запланированные промежутки времени. Он использовал тактику, позволяющую избежать обнаружения, используя имя, похожее на имя законной службы logrotate, что еще больше помогло избежать обнаружения. Настраиваемая полезная нагрузка XMRig была жестко запрограммирована для устранения аргументов командной строки, которые могли вызвать предупреждения системы безопасности, что повысило ее скрытность во время работы.

Что касается стойкости, злоумышленник использовал различные методы, такие как модификация загрузочных скриптов на основе дистрибутива Linux и создание поддельной службы systemd, маскирующейся под logrotate, указывающей на их вредоносный двоичный файл с целью постоянных перезапусков. Внедрение этих механизмов сохранения данных свидетельствует о растущей изощренности хакеров в поддержании контроля над скомпрометированными средами.

Датчик Wiz Runtime Sensor активно обнаруживает этот тип взлома, отслеживая конкретные события и поведение, связанные с атакой, и отслеживая каждый шаг от первоначального использования до активных операций по криптодобыче. Использование собственных правил YARA позволяет обнаруживать возникающие угрозы, фиксировать изменения, внесенные в системные службы, и выполнение вредоносного ПО. Этот инцидент подчеркивает критические последствия неправильно сконфигурированных интерфейсов JDWP и модели быстрого использования, наблюдаемые в современных условиях кибербезопасности.

#ParsedReport #CompletenessHigh
02-07-2025

June's Dark Gift: The Rise of Qwizzserial

https://www.group-ib.com/blog/rise-of-qwizzserial/

Report completeness: High

Threats:
Qwizzserial
Sms_stealer
Classiscam
Ajina
Allatori_technique

Victims:
Banking users, General users

Industry:
Government, Financial

Geo:
Asia, Uzbekistan

TTPs:
Tactics: 11
Technics: 10

IOCs:
Hash: 1274
Url: 1
Domain: 1

Soft:
Telegram, Android, Google Play

Algorithms:
zip, sha1

Languages:
kotlin, java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Семейство вредоносных программ Qwizzserial нацелено на пользователей Android в Узбекистане и выполняет функцию перехватчика SMS-сообщений для перехвата конфиденциальной информации, такой как банковские реквизиты и коды 2FA. Оно использует тактику социальной инженерии, маскируясь под законные приложения, и использует Telegram для связи C2. Вредоносная программа отслеживает SMS-сообщения на предмет денежных переводов и использует простой код с расширенными запросами разрешений для извлечения данных.
-----

Вредоносная программа Qwizzserial нацелена на пользователей Android и выполняет функцию похитителя SMS-сообщений, извлекая конфиденциальные данные, такие как банковские реквизиты и коды 2FA. Она взаимодействует с серверами управления, используя ботов Telegram для распространения приложений. Вредоносная программа использует тактику социальной инженерии, выдавая себя за легальные приложения с обманчивыми названиями для распространения. Она заразила около 100 000 пользователей, что привело к финансовым потерям на сумму более 62 000 долларов США в течение трех месяцев. Qwizzserial, написанный на Kotlin, не запутывается и запрашивает обширные разрешения на отправку SMS и звонков. Он отслеживает входящие SMS-сообщения на предмет наличия сообщений, связанных с большими суммами или OTP, и извлекает данные через Telegram Bot API. Qwizzserial отправляет USSD-запросы для получения информации, связанной с устройством, используя жестко запрограммированные команды для узбекских сетей. Он демонстрирует устойчивость и адаптивность, а последние обновления улучшили его работоспособность за счет изменения настроек оптимизации заряда батареи. Пользователям рекомендуется избегать загрузки приложений из ненадежных источников и полагаться на авторитетные платформы, такие как Google Play.

#ParsedReport #CompletenessLow
04-07-2025

Malvertising Campaign Delivers Oyster/Broomstick Backdoor via SEO Poisoning and Trojanized Tools

https://arcticwolf.com/resources/blog/malvertising-campaign-delivers-oyster-broomstick-backdoor-via-seo-poisoning-trojanized-tools/

Report completeness: Low

Threats:
Seo_poisoning_technique
Oyster
Putty_tool

Victims:
It professionals, Users, It staff

ChatGPT TTPs:
do not use without manual check
T1053.005, T1189, T1195.001, T1204.002, T1218.011, T1574.002

IOCs:
File: 2
Domain: 5

Soft:
WinSCP

Win API:
DllRegisterServer

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя кампания по SEO-атакам и недобросовестной рекламе приводит пользователей на вредоносные сайты, на которых размещаются троянские ИТ-инструменты, такие как PuTTY и WinSCP, устанавливающие бэкдор "Oyster" или "Broomstick". Этот бэкдор обеспечивает постоянство с помощью запланированной задачи, которая вызывает вредоносную библиотеку DLL, позволяя злоумышленникам сохранять доступ.
-----

Компания Arctic Wolf сообщила о хакерской атаке, связанной с кампанией по поисковой оптимизации (SEO), которая началась в начале июня 2025 года. Эта кампания направляет пользователей на вредоносные веб-сайты, на которых размещены троянские версии законных ИТ-инструментов, в частности, таких программ, как PuTTY и WinSCP. Основная цель этих поддельных сайтов - обманом заставить ИТ-специалистов и других пользователей загружать и запускать скомпрометированные установщики.

После запуска троянского установщика он устанавливает бэкдор, известный как Oyster или Broomstick. Этот бэкдор обеспечивает постоянную работу взломанной системы, создавая запланированную задачу, которая выполняется каждые три минуты. Эта задача вызывает вредоносную библиотеку DLL (twain_96.dll) через rundll32.exe, используя метод экспорта DllRegisterServer, что указывает на то, что злоумышленник использует регистрацию библиотеки DLL как часть своего механизма для поддержания доступа. Хотя в настоящее время кампания проводилась только с использованием троянских версий PuTTY и WinSCP, сохраняется угроза того, что в будущем могут быть использованы и другие легальные инструменты.

Чтобы снизить риски, связанные с этой кампанией, Arctic Wolf рекомендует пользователям, особенно ИТ-специалистам, не полагаться на поисковые системы для загрузки инструментов администрирования. Вместо этого они рекомендуют использовать проверенные внутренние хранилища или напрямую обращаться к официальным веб-сайтам поставщиков. Ожидается, что такая практика позволит свести к минимуму угрозу, связанную с SEO-атаками и вредоносной рекламой. Кроме того, Arctic Wolf рекомендовал заблокировать определенные домены, связанные с этой вредоносной деятельностью, чтобы предотвратить доступ пользователей к этим зараженным источникам загрузки, тем самым снижая риск заражения троянскими программами. Внимание, уделяемое блокировке доменов, подчеркивает необходимость принятия упреждающих мер для защиты от этого начинающего хакера.

#ParsedReport #CompletenessLow
04-07-2025

How Much More Must We Bleed? - Citrix NetScaler Memory Disclosure (CitrixBleed 2 CVE-2025-5777)

https://labs.watchtowr.com/how-much-more-must-we-bleed-citrix-netscaler-memory-disclosure-citrixbleed-2-cve-2025-5777/

Report completeness: Low

Threats:
Citrix_bleed_vuln

CVEs:
CVE-2025-5777 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2023-4966 [Vulners]
CVSS V3.1: 9.4,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler_application_delivery_controller (<12.1-55.300, <13.0-92.19, <13.1-37.164, <13.1-49.15, <14.1-8.50)
- citrix netscaler_gateway (<13.0-92.19, <13.1-49.15, <14.1-8.50)

CVE-2025-6543 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler_application_delivery_controller (<13.1-37.236, <13.1-59.19, <14.1-47.46)


ChatGPT TTPs:
do not use without manual check
T1003, T1040, T1203, T1557.003

Soft:
ChatGPT, Bindiff

Functions:
ReadOnly

Languages:
c_language

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-5777 - это критическая уязвимость в Citrix NetScaler, которая возникает из-за недостаточной проверки введенных данных, что приводит к утечкам памяти, которые могут привести к раскрытию конфиденциальной информации. Злоумышленники могут воспользоваться этим, манипулируя заголовком User-Agent для доступа к неинициализированным буферам, аналогично уязвимости CitrixBleed.
-----

CVE-2025-5777 - это серьезная уязвимость, обнаруженная в Citrix NetScaler при настройке в качестве шлюза или виртуального сервера AAA. Эта проблема возникает из-за недостаточной проверки ввода, что может привести к уязвимостям избыточного чтения из памяти, потенциально позволяющим злоумышленникам получить доступ к конфиденциальной информации. Механизм этой уязвимости указывает на утечку памяти, связанную с неинициализированной локальной переменной во внутреннем анализаторе, которая, как ожидается, будет содержать имя пользователя из параметров входа. Эта ситуация имеет сходство с предыдущей уязвимостью, известной как CitrixBleed (CVE-2023-4966), которая вызывала серьезные проблемы с безопасностью из-за возможности ее использования для перехвата сеанса.

Исследование CVE-2025-5777 показало, что, манипулируя параметрами HTTP-запроса, в частности заголовком User-Agent, злоумышленники могут спровоцировать утечку памяти. Повторная отправка строки "watchTowr" в качестве части заголовка User-Agent была методом, используемым для повышения шансов на получение соответствующих данных из этого неинициализированного буфера. Непредсказуемость утечек памяти требует длительного тестирования, поскольку более длительное время выполнения может привести к более значительным открытиям, особенно в производственных средах, где используются VPN-соединения. Это понимание подчеркивает риск, связанный с нерешенными уязвимостями в системах управления удаленным доступом, и иллюстрирует текущие проблемы в области кибербезопасности, связанные с недостатками в управлении памятью и непроверенным пользовательским вводом.

#ParsedReport #CompletenessLow
05-07-2025

Exploiting Trust: How Signed Drivers Fuel Modern Kernel Level Attacks on Windows

https://www.group-ib.com/blog/kernel-driver-threats/

Report completeness: Low

Threats:
Krbanker
Fivesys
Fk_undead
Lockbit
Poortry
Reddriver
Copperstealer
Terminator_tool

Industry:
Government, E-commerce, Financial, Petroleum

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1014, T1027, T1036.005, T1068, T1105, T1218.011, T1497.003, T1543.003, T1562.001, T1588.003, have more...

Soft:
Windows Kernel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники все чаще используют загрузчики ядра Windows и подписанные драйверы для получения привилегированного доступа, что позволяет обходить меры безопасности. С 2020 года появилось более 620 вредоносных драйверов, связанных с различными атаками, что привело к значительному дублированию инфраструктуры подписи и выявлению уязвимостей при выдаче сертификатов. Для устранения этих сложных угроз необходимы усиленные меры безопасности, поскольку злоумышленники продолжают использовать подпольные рынки для приобретения механизмов подписи.
-----

Киберпреступники все чаще используют загрузчики ядра Windows и драйверы с цифровой подписью, чтобы получить привилегированный доступ и сохранить контроль над скомпрометированными системами. Вредоносное ПО уровня ядра, которое работает на уровне ring 0, позволяет злоумышленникам отключать средства безопасности и избегать обнаружения, что позволяет проводить расширенные операции с угрозами. С 2020 года наблюдается заметный рост числа таких атак: более 620 вредоносных драйверов были связаны с различными кампаниями, использующими более 80 сертификатов и многочисленные учетные записи программы совместимости оборудования Windows (WHCP).

Злоумышленники используют подписанные драйверы для управления критически важными функциями операционной системы, внедряясь в системы со значительными привилегиями. Ключевые функции безопасности, предназначенные для противодействия этим угрозам, включают PatchGuard, принудительное использование сигнатур драйверов, защиту от вредоносных программ на ранней стадии запуска и целостность кода, защищенную гипервизором, - все это позволяет ограничить несанкционированное выполнение кода. Однако хакеры адаптировались, часто используя подпольные сервисы, которые предоставляют доступ к этим механизмам подписи для создания вредоносных программ на уровне ядра.

Анализ более 600 вредоносных драйверов, подписанных Group-IB, показал, что около 32% из них действовали как загрузчики, извлекая полезную информацию с серверов управления или сохраняя ее локально. Одним из примечательных примеров является эволюция банковского трояна Blackmoon, который интегрировал драйвер Hugo, способный расшифровывать и загружать неподписанные драйверы при выполнении различных задач в области памяти и сети.

Расследование также выявило значительное совпадение инфраструктуры подписи между различными вредоносными кампаниями, причем такие примеры, как POORTRY, были связаны с несколькими семействами программ-вымогателей. С 2020 года наблюдается значительная активность, что привело к использованию целого ряда инструментов и многочисленных сертификатов, особенно тех, которые связаны с китайскими компаниями. Это свидетельствует о систематическом подходе хакеров к злоупотреблению законными процедурами получения этих подписей.

Рынок подпольных сертификатов расширенной проверки (EV) с кодовой подписью вырос, и поставщики предлагают услуги, помогающие хакерам внедрять надежные драйверы, которые могут отключать программное обеспечение безопасности. Такая практика выявляет критические уязвимости в процессе выдачи сертификатов, что требует более строгого контроля за выдачей и механизмов проверки. Способность злоумышленников внедрять подписанное вредоносное ПО на уровне ядра создает постоянные проблемы для обнаружения и подчеркивает необходимость принятия усиленных мер безопасности для устранения этих сложных угроз.

#ParsedReport #CompletenessLow
05-07-2025

XwormRAT distributed using steganography techniques

https://asec.ahnlab.com/ko/88785/

Report completeness: Low

Threats:
Xworm_rat
Steganography_technique
Formbook

ChatGPT TTPs:
do not use without manual check
T1027, T1027.003, T1059.001, T1059.005, T1059.007, T1105, T1140, T1566.001

IOCs:
Hash: 5
Url: 5

Algorithms:
md5, base64

Functions:
replace

Languages:
powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная программа XwormRAT распространяется с помощью фишинговых электронных писем, используя стеганографию изображений в формате JPG, чтобы скрыть свой код выполнения. Она использует VBScript/JavaScript для запуска сценария PowerShell, который загружает дополнительное вредоносное ПО, усложняя его обнаружение. Модифицированные версии вредоносной программы могут выполнять поиск определенных растровых подписей в файлах JPG, что подчеркивает универсальность этого метода и необходимость соблюдать осторожность при работе с неизвестными электронными письмами.
-----

Аналитический центр безопасности AhnLab (ASEC) сообщил, что вредоносная программа XwormRAT распространяется с помощью фишинговых электронных писем, в которых используются методы стеганографии, что усложняет усилия по обнаружению. При первоначальном запуске вредоносного ПО используется код на VBScript или JavaScript, который встраивает вредоносные скрипты в кажущийся безобидным код. Этот исходный скрипт запускает также встроенный в него сценарий PowerShell, предназначенный для загрузки и запуска вредоносного ПО.

Сценарий PowerShell использует кодировку BASE64 вместе с фиктивными символами, которые удаляются во время выполнения, чтобы выявить вредоносную нагрузку. В конечном счете, этот процесс приводит к загрузке и запуску дополнительного вредоносного ПО, размещенного на внешних серверах. Примечательно, что механизм доставки этого вредоносного ПО включает в себя файл изображения в формате JPG, который содержит загрузчик .NET вместе с самим вредоносным кодом. Эта реализация стеганографии предназначена для маскировки вредоносного ПО, что делает его менее узнаваемым для пользователей и систем безопасности.

Было подтверждено, что модифицированные версии вредоносной программы специально предназначены для поиска определенных шаблонов, в частности, подписи растрового изображения в конце файлов JPG. Этот поиск позволяет получить пиксельные данные, из которых извлекаются значения R, G и B, что позволяет вредоносному ПО функционировать аналогично его предыдущим версиям. Это подчеркивает универсальность метода стеганографии, позволяющего применять его для различных типов вредоносных программ, помимо XwormRAT. Поскольку модифицированные версии становятся все более распространенными, ASEC предупреждает пользователей проявлять осторожность при работе с электронными письмами из неизвестных источников, чтобы снизить потенциальные риски, связанные с этими развивающимися угрозами.

#ParsedReport #CompletenessHigh
05-07-2025

XWorm's Shape-Shifting Arsenal: Loader and Stager Variants in the Wild

https://www.splunk.com/en_us/blog/security/xworm-shape-shifting-arsenal-detection-evasion.html

Report completeness: High

Threats:
Xworm_rat
Process_injection_technique
Supply_chain_technique
Asyncrat
Lockbit
Dll_sideloading_technique
Cobalt_strike_tool
Empire_loader

Industry:
Entertainment, Transport

TTPs:

IOCs:
File: 35
Command: 1
Path: 1
Hash: 9

Soft:
Microsoft Defender, Windows Powershell, Windows security, Windows Event Tracing for Windows, Windows Security Center, Slack

Algorithms:
zip, md5, gzip, base64, aes

Functions:
EtwEventWrite, Win32_VideoController, RunDisk

Win API:
AmsiScanBuffer, decompress, capGetDriverDescriptionA

Languages:
dotnet, javascript, cscript, powershell

Links:
https://github.com/splunk/attack\_data/
https://gist.github.com/tccontre/2e4508f7fd308a6d6e64aa56ff5ad50e
have more...
https://github.com/splunk/security\_content

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
XWorm - это усовершенствованная программа RAT, используемая киберпреступниками, которая обеспечивает кейлоггинг, удаленный доступ и эксфильтрацию данных. Она использует модульную тактику, обфускацию и связь C2, чтобы избежать обнаружения, используя различные методы доставки и механизмы сохранения данных, одновременно облегчая загрузку полезных программ-вымогателей.
-----

XWorm - это продвинутый троян для удаленного доступа (RAT), который завоевал популярность среди хакеров благодаря своему широкому набору функций, включая кейлоггинг, удаленный доступ к рабочему столу, эксфильтрацию данных и выполнение команд. Его модульность и адаптивность сделали его предпочтительным выбором для киберпреступников, особенно нацеленных на цепочку поставок программного обеспечения и игровой сектор. XWorm часто развертывается вместе с другими вредоносными программами, такими как AsyncRAT, на ранних стадиях атаки, что в конечном итоге облегчает доставку полезной нагрузки программ-вымогателей, связанных с такими группами, как LockBit.

Недавние кампании, в которых используется XWorm, показывают, как развиваются методы обхода механизмов обнаружения. Вредоносная программа использует ряд этапов и загрузчиков, что позволяет ей динамически изменять методы доставки. Такая гибкость позволяет XWorm использовать различные форматы файлов и языки сценариев, включая PowerShell, VBS, исполняемые файлы .NET и другие, что усложняет работу по обнаружению. Использование RAT методов обфускации еще больше затрудняет статический анализ кода, скрывая его функциональность и назначение.

Цепочка заражения XWorm включает в себя компоненты, специально разработанные для получения основной полезной информации непосредственно с серверов командно-диспетчерского управления (C2). Например, некоторые .Было замечено, что hta-файлы и stagers на базе PowerShell ведут себя подобным образом. Вредоносная программа также использует сложные тактики уклонения, такие как изменение интерфейса проверки на наличие вредоносных программ (AMSI), чтобы избежать обнаружения антивирусными решениями. Исправив функцию AmsiScanBuffer() в памяти, XWorm может выполнять свой код, не запуская защиту, а также изменять трассировку событий Windows (ETW), чтобы избежать регистрации вредоносных действий.

В дополнение к своим механизмам сохранения, которые включают создание ярлыков .lnk и изменение разделов реестра, XWorm обладает способностью распространяться через съемные диски. Для этого он удаляет свои копии и привлекает пользователей к выполнению своей полезной нагрузки. Кроме того, вредоносная программа способна поддерживать работоспособность при перезагрузке системы и повышать привилегии с помощью запланированных задач.

После выполнения XWorm взаимодействует со своим сервером C2, обрабатывая команды, которые включают выключение системы, загрузку файлов и DDoS-атаки. Он выполняет разведку системы с использованием инструментария управления Windows (WMI) для сбора информации об установленном антивирусном программном обеспечении и подробных данных об аппаратном обеспечении системы, таком как графический процессор.

#ParsedReport #CompletenessLow
05-07-2025

Pro-Russian hacktivism: Shifting alliances, new groups and risks

https://intel471.com/blog/pro-russian-hacktivism-shifting-alliances-new-groups-and-risks

Report completeness: Low

Actors/Campaigns:
Dark_storm_team (motivation: hacktivism, cyber_espionage)
Mr_hamza (motivation: hacktivism, cyber_espionage)
Z-pentest_alliance (motivation: hacktivism)
Oplithuania (motivation: hacktivism)
Noname057 (motivation: financially_motivated, hacktivism)
Serverkillers (motivation: hacktivism)
Anonsec (motivation: hacktivism)
Keymous (motivation: hacktivism)
Twonet (motivation: hacktivism, cyber_espionage)
Killnet (motivation: hacktivism)
Killmilk (motivation: hacktivism)
Cyberarmyofrussia (motivation: hacktivism)
Peoples_cyber_army
Root_sploit
Cyberarmyrussia
Deadnet
Fucknet
Xaknet
Sandworm (motivation: hacktivism)
It_army (motivation: hacktivism, information_theft)
Rippersec (motivation: hacktivism)
Overflame (motivation: hacktivism, cyber_espionage)
Sector091 (motivation: hacktivism, cyber_espionage)

Threats:
Ddosia_botnet
Panicbotnet_tool
Megamedusa_tool
Sakura_dropper

Victims:
Lithuanian financial sector, Lithuanian government institutions, Expresstrip, Industrial control systems, Water utility facility texas, Energy utility facility, Nato countries, Entities in or supporting ukraine, Israeli websites, Critical infrastructure organizations, have more...

Industry:
Government, Ics, Energy, Military, Aerospace, Critical_infrastructure, Software_development, Telco

Geo:
Lithuania, Russia, France, Ukrainians, Russians, Poland, Russian, Iranian, Polish, Spain, Iran, Israeli, Ukraine, Ukrainian, Israel

ChatGPT TTPs:
do not use without manual check
T1190, T1491, T1499, T1565.001, T1588.002

Soft:
Telegram

Platforms:
intel

Links:
https://github.com/TrashDono/MegaMedusa