#ParsedReport #CompletenessLow
22-07-2025

NET RFQ: Request for Quote Scammers Casting Wide Net to Steal Real Goods

https://www.proofpoint.com/us/blog/threat-insight/net-rfq-request-quote-scammers-casting-wide-net-steal-real-goods

Report completeness: Low

Threats:
Bec_technique

Victims:
Businesses, Corporations, Colleges, Small to midsized city governments

Industry:
Transport, Government, Financial, Education, Healthcare

Geo:
Ghana, African, Nigeria

ChatGPT TTPs:
do not use without manual check
T1078, T1566.001, T1566.002, T1584.001, T1585.001, T1586

IOCs:
Domain: 89
File: 4

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Мошенники, участвующие в запросах предложений, используют финансирование поставщиков для кражи дорогостоящих товаров, в частности электроники, часто используя украденную корпоративную информацию, чтобы выдавать себя за законных поставщиков. Мошенники запрашивают котировки и используют фишинговые схемы для получения конфиденциальных бизнес-данных, в конечном итоге приобретая товары под надуманным предлогом, обычно ориентируясь на развивающиеся регионы. Доставка осуществляется через посредников, а мулы участвуют в распределении украденных товаров.
-----

Мошенничество с запросами ценовых предложений (RFQ) развивается с целью использования возможностей финансирования поставщиков, в частности, с использованием чистых условий финансирования (15, 30, 45 дней) для облегчения кражи дорогостоящих товаров, преимущественно электроники. В таких аферах, как правило, участвуют мошенники, выдающие себя за агентов по закупкам для законных предприятий или организаций, использующие украденную или общедоступную корпоративную информацию для повышения доверия. Участники создают убедительные электронные письма с персонализированными подписями, имитирующими реальный корпоративный бренд, часто ориентируясь на специализированные отрасли, которые размещают конкретные заказы.

Мошенники вступают в контакт, запрашивая цены на продукты, а затем используют эти взаимодействия для внедрения вредоносных программ или фишинговых схем. После получения положительного ответа они часто инициируют запрос на чистое финансирование, который включает предоставление конфиденциальной деловой информации, такой как идентификационный номер работодателя (EIN) и номер DUNS, либо запрашивают подтверждающие документы для обработки. Их конечная цель - обеспечить сохранность товаров под предлогом оплаты в оговоренные сроки, при этом заказчиков часто просят доставить оборудование, которое считается законным и пользуется большим спросом в развивающихся регионах.

Оперативная структура таких мошенников, как правило, включает в себя сеть экспедиторских служб и мулов, которые облегчают получение и перераспределение украденных товаров. Сотрудничая с известными посредниками по доставке, мошенники часто отправляют товары в такие страны, как Нигерия и Гана, пользуясь преимуществами местных служб, но подвергая риску целостность отправлений. Вовлеченность мулов различна; некоторые из них могут быть невольными участниками, в то время как другие являются активными соучастниками, мотивированными личными финансовыми потребностями или связями с преступниками.

Постоянные усилия по отслеживанию и устранению нарушений, включая успешное удаление доменов, свидетельствуют о продолжающейся борьбе исследователей в области кибербезопасности с этими мошенническими предложениями. Критически важным для снижения рисков, связанных с этими мошенничествами, является бдительность при проверке законности запросов на финансирование. Организациям настоятельно рекомендуется проявлять осторожность в отношении срочных финансовых запросов, проверять адреса доставки и подтверждать законность заявлений по прямым каналам связи. Важно тщательно проверять источники электронной почты на предмет подлинности и выявлять любые несоответствия, которые указывают на мошеннические действия.

#ParsedReport #CompletenessLow
22-07-2025

PoisonSeed downgrading FIDO key authentications to fetch user accounts

https://expel.com/blog/poisonseed-downgrading-fido-key-authentications-to-fetch-user-accounts/

Report completeness: Low

Actors/Campaigns:
Poisonseed

Threats:
Aitm_technique

ChatGPT TTPs:
do not use without manual check
T1078, T1111, T1556.003, T1557.002, T1566.001

IOCs:
Domain: 2

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники используют уязвимости в аутентификации по ключу FIDO с помощью фишинговых атак, в которых используется технология "злоумышленник посередине" (AitM), заставляя пользователей сканировать QR-код на мошенническом сайте после того, как они введут свои учетные данные. Эти инциденты показывают, что злоумышленники могут манипулировать протоколами безопасности FIDO, подчеркивая необходимость в усиленных мерах защиты, таких как требование подключения по Bluetooth для снижения рисков AitM.
-----

Недавние события в области кибербезопасности выявили тревожный метод, используемый злоумышленниками для обхода аутентификации по ключу FIDO, особенно при фишинговых атаках. В ходе атаки используются функции входа с разных устройств, предназначенные для повышения удобства пользователей. В этих инцидентах злоумышленники используют стратегию "противник посередине" (AitM), обманом заставляя жертв сканировать QR-код, появляющийся после ввода их учетных данных на поддельной странице входа в систему.

В одном из зарегистрированных случаев злоумышленник выдавал себя за законную организацию с помощью фишингового электронного письма, перенаправляя пользователей на мошеннический сайт, имитирующий знакомый процесс входа в систему. Пользователи, вводящие свои имена пользователей и пароли, выдают украденные учетные данные; однако ключи FIDO, которые требуют двухфакторной аутентификации, изначально препятствуют атаке из-за необходимости использования второго физического фактора. Проблема возникает после входа в систему, когда фишинговый сайт передает учетные данные на фактический портал для входа в систему, а затем генерирует QR-код, который жертва может отсканировать с помощью приложения MFA authenticator. Эта проверка с помощью QR-кода позволяет злоумышленнику получить незаконный доступ, эффективно снижая уровень безопасности, обеспечиваемый ключами FIDO.

Расследование этой атаки показало, что фишинговый механизм заманивал пользователей в ловушку через авторитетные платформы, такие как Cloudflare, создавая обманчивое ощущение безопасности. К счастью, в данном конкретном случае после перехвата процесса аутентификации не было обнаружено никаких серьезных вредоносных действий, которые вызвали бы рекомендуемые действия, такие как проверка устройств аутентификации, сброс паролей и завершение активных сеансов.

В другом инциденте другая атака использовала процесс аутентификации FIDO еще более прямым образом. В данном случае злоумышленник предположительно сбросил пароль жертвы и зарегистрировал ее собственный ключ FIDO без сложного обмана, характерного для фишинга. Это продемонстрировало тревожащую легкость, с которой злоумышленники могли манипулировать безопасностью учетной записи, обходя традиционные меры предосторожности.

Несмотря на то, что эти инциденты выявляют значительные уязвимости в протоколах безопасности FIDO key, они также подчеркивают постоянную необходимость таких мер аутентификации. Было предложено, чтобы организации включали дополнительные функции защиты, например, требовали подключения Bluetooth между устройством MFA и устройством, пытающимся выполнить вход в систему. Эта корректировка может значительно снизить риск AitM-атак, когда злоумышленники в противном случае могли бы воспользоваться учетными данными пользователя с помощью этого нового метода.

Меняющаяся тактика угроз кибербезопасности иллюстрирует продолжающуюся гонку вооружений между атакующими и обороняющимися, при которой цикл ужесточения мер безопасности продолжается по мере того, как обе стороны адаптируются к возникающим угрозам. Тщательное изучение поведения и инструментов, используемых для защиты учетных записей, включая ключи FIDO, имеет важное значение, поскольку парадигма MFA и безопасных методов использования паролей продолжает подвергаться сомнению в цифровом мире.

#ParsedReport #CompletenessMedium
21-07-2025

SharePoint ToolShell \| Zero-Day Exploited in-the-Wild Targets Enterprise Servers

https://www.sentinelone.com/blog/sharepoint-toolshell-zero-day-exploited-in-the-wild-targets-enterprise-servers/

Report completeness: Medium

Threats:
Toolshell_vuln
Credential_harvesting_technique
Watering_hole_technique

Industry:
Critical_infrastructure

Geo:
Berlin

CVEs:
CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)

CVE-2025-49704 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (2016, 2019)

CVE-2025-53771 [Vulners]
CVSS V3.1: 7.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1055, T1055.004, T1059.001, T1071.001, T1105, T1190, T1505.003

IOCs:
File: 6
Path: 2
Command: 1
IP: 3
Hash: 3

Soft:
Microsoft SharePoint, SharePoint Server, ASP.NET

Algorithms:
sha1, base64, sha512

Functions:
Set-Content

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Корпорация Майкрософт обнаружила уязвимость сроком действия 0 дней в серверах SharePoint (CVE-2025-53770), которая активно использовалась для получения привилегированного доступа через взломанную страницу управления. Злоумышленники использовали пользовательскую веб-оболочку ASPX и разведывательную полезную нагрузку spinstall0.aspx для сбора криптографических материалов. В ходе продолжающихся попыток взлома были отмечены такие методы, как доставка PowerShell и выполнение без использования файлов, что подчеркивает необходимость немедленного исправления и усиления мер безопасности.
-----

19 июля корпорация Майкрософт обнаружила уязвимость продолжительностью 0 дней в локальных серверах Microsoft SharePoint, идентифицированную как "ToolShell" с идентификатором CVE-2025-53770. Эта уязвимость активно используется в дикой природе, наряду со связанным с ней обходным путем, обозначенным как CVE-2025-53771. Уязвимости были связаны с ранее исправленными ошибками (CVE-2025-49704 и CVE-2025-49706), которые были первоначально обнаружены в Pwn2Own Berlin и включены в цепочку атак с удаленным выполнением кода (RCE). Исследователи настоятельно рекомендовали немедленно внести исправления, а также принять дополнительные меры безопасности, такие как включение обнаружения AMSI и изоляция общедоступных серверов SharePoint.

17 июля SentinelOne впервые обнаружила попытки взлома, связанные с ToolShell, что свидетельствует о продолжающейся деятельности, нацеленной на крупные организации в сфере технологического консалтинга, производства и инфраструктуры. Злоумышленник воспользовался страницей управления SharePoint (/ToolPane.aspx), что указывает на возможность уязвимости получить привилегированный доступ. После этого была развернута пользовательская веб-оболочка ASPX, защищенная паролем, с именем "xxx.aspx", позволяющая злоумышленнику выполнять команды в среде. Примечательно, что 18 и 19 июля произошли две волны использования, кульминацией которых стала постоянная полезная нагрузка под названием spinstall0.aspx. Этот файл функционирует не как стандартная командная веб-оболочка, а как утилита разведки и сохранения данных, предназначенная для сбора криптографических материалов, которые могут облегчить дальнейшее использование, например, подделку токенов аутентификации.

Первая волна разработки использовала PowerShell для доставки полезной нагрузки, а сценарий в кодировке base64 был декодирован в каталог МАКЕТОВ SharePoint. Вторая волна также была нацелена на предоставление spinstall0.aspx с небольшими отличиями в промежуточных сценариях. Интересно, что в третьем обнаруженном кластере активности, получившем название "без оболочки", использовались передовые методы, включая выполнение без использования файлов. Этот кластер работал без создания постоянных веб-оболочек, используя выполнение модуля .NET в памяти, что значительно усложняет обнаружение и реагирование. Все действия из этого кластера происходили с одного IP-адреса, что указывает на целенаправленные усилия, вероятно, опытных хакеров, нацеленных на скрытый доступ и сбор учетных данных.

Использование уязвимостей SharePoint иллюстрирует тенденцию, проявляющуюся среди злоумышленников, которые извлекают выгоду из незащищенных систем и используют итеративную разработку эксплойтов. Серверы SharePoint, на которых хранятся критически важные данные организации, являются привлекательными объектами для злоумышленников не только из-за их непосредственного хранения, но и из-за их потенциального использования для проведения дальнейших внутренних атак. Это подчеркивает острую необходимость соблюдения организациями строгих правил безопасности в своих средах SharePoint.

#ParsedReport #CompletenessLow
22-07-2025

Beware of RokRAT malware distribution using malicious Hangul (.HWP) documents

https://asec.ahnlab.com/ko/89116/

Report completeness: Low

Threats:
Rokrat
Dll_sideloading_technique
Spear-phishing_technique

Geo:
North korea, Korean

ChatGPT TTPs:
do not use without manual check
T1027, T1082, T1105, T1203, T1204.002, T1566.001, T1574.002

IOCs:
File: 11
Hash: 4

Soft:
ShellRunas, Dropbox

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная программа RokRAT теперь распространяется через документы на языке Хангыль (HWP), используя соблазнительные ссылки для запуска программы ShellRunas.exe, которая загружает credui.библиотека dll для установки вредоносного ПО. Этот сложный метод усиливает усилия социальной инженерии, подчеркивая необходимость усовершенствованных мер обнаружения.
-----

Недавний анализ, проведенный аналитическим центром безопасности AhnLab (ASEC), выявил изменения в методе распространения вредоносного ПО RokRAT, которое теперь распространяется с помощью документов на языке хангыль (HWP) вместо ранее распространенной тактики с использованием файлов быстрого доступа (LNK). Это изменение направлено на снижение скептицизма пользователей, поскольку документы, замаскированные под безобидные отчеты о продажах зерна в Северной Корее, публикуются под такими названиями, как "250615_ Статус работы офиса продаж зерна".

Внутри документа пользователи обнаруживают гиперссылку с надписью "Ссылка на приложение material.docx". При нажатии на эту ссылку запускается окно предупреждения, в котором пользователю предлагается запустить файл с именем ShellRunas.exe, который находится в каталоге %TEMP%. Примечательно, что ShellRunas.exe встроен в документ в виде OLE-объекта, который процесс Hangul автоматически генерирует в папке %TEMP% пользователя при обращении к соответствующей странице документа.

В дополнение к ShellRunas.exe, документ также содержит второй OLE-объект, связанный с credui.dll, который аналогичным образом генерируется в каталоге %TEMP%. Выполнение ShellRunas.exe, легитимного исполняемого файла, подписанного сертификатом Microsoft, облегчает загрузку вредоносного credui.библиотека dll использует метод, известный как боковая загрузка библиотеки DLL. Этот подход позволяет злоумышленнику выполнить вредоносный код под видом доверенного приложения. После запуска credui.библиотека dll загружает из Dropbox измененный файл изображения с именем Father.jpg. Хотя изображение выглядит безобидным, в нем скрыт шелл-код, который внедряет вредоносную программу RokRAT в память.

RokRAT - это мощная вредоносная программа, способная извлекать пользовательские данные и выполнять различные команды по указанию злоумышленника. Развивающаяся тактика распространения RokRAT, которая использует социальную инженерию с помощью, казалось бы, невинных ссылок на документы, подчеркивает необходимость повышенной бдительности и внедрения эффективных мер обнаружения для противодействия этим сложным угрозам.

#ParsedReport #CompletenessLow
22-07-2025

Beware of malicious LNK distribution that steals information by disguising the card company's security email authentication window

https://asec.ahnlab.com/ko/89126/

Report completeness: Low

ChatGPT TTPs:
do not use without manual check
T1005, T1055.002, T1056.001, T1059.001, T1105, T1170, T1204.001, T1204.002, T1218.011, T1566.001, have more...

IOCs:
Path: 2
File: 4
Hash: 5
Url: 3
Domain: 1

Soft:
chrome, chrome, opera, firefox, outlook

Algorithms:
md5

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новый хакер использует вредоносные файлы LNK, которые выдают себя за электронные письма для проверки подлинности по системе безопасности, используя динамически загружаемые библиотеки DLL для кейлоггинга и кражи информации. Атака начинается с того, что HTML-файл создает вредоносную библиотеку DLL (sys.dll), запускаемую с помощью rundll32.exe, которая загружает дополнительные библиотеки DLL, которые функционируют как инфокрады и вредоносные программы-бэкдоры. Это отражает эволюцию тактики социальной инженерии, направленной на то, чтобы обманом заставить пользователей запускать вредоносные файлы.
-----

Аналитический центр безопасности AhnLab (ASEC) сообщил о новом методе хакерской атаки, использующем вредоносные файлы LNK, которые выдают себя за защищенные окна аутентификации по электронной почте от компаний-эмитентов кредитных карт. Эти файлы LNK созданы таким образом, чтобы они напоминали законные названия финансовых учреждений, а разработанная стратегия кражи информации позволила отказаться от использования сценариев PowerShell, которые использовались ранее. Вместо этого атака теперь использует динамически загружаемые DLL-файлы, что расширяет возможности ведения кейлоггинга и сбора пользовательской информации при выполнении файлов-приманок для маскировки своих злонамеренных намерений.

Вредоносные действия начинаются при запуске HTML-файла, который, в свою очередь, создает вредоносную библиотеку DLL, идентифицируемую как sys.dll, и текстовый файл с именем user.txt, содержащий URL-адрес для загрузки дополнительных полезных файлов. После его создания sys.dll выполняется с помощью rundll32.exe, что приводит к развитию атаки. Затем он загружает три дополнительных DLL-файла (app, net, notepad.log), как указано в user.txt, процесс выполняется с помощью рефлексивного метода. Этот метод заключается во внедрении библиотеки DLL приложения непосредственно в запущенный процесс, такой как chrome.exe, что позволяет вредоносному ПО скрытно работать, загружая библиотеку DLL непосредственно в память, что позволяет обойти многие традиционные механизмы обнаружения.

Загруженные DLL-файлы выполняют различные функции: app и net служат в качестве вредоносных программ Infostealer, которым поручено тайно собирать конфиденциальную пользовательскую информацию, в то время как notepad.log выполняет функцию вредоносного ПО с черным ходом, вероятно, обеспечивая несанкционированный удаленный доступ к скомпрометированным системам. Распространение этих вредоносных файлов LNK, часто замаскированных под безопасные документы или электронные письма, свидетельствует о продолжающемся развитии тактики социальной инженерии, направленной на то, чтобы обманом заставить пользователей запускать вредоносные файлы. Сложность вектора атаки вызывает опасения, особенно в связи с тем, что все чаще происходит выдача себя за авторитетные организации. Поэтому пользователям рекомендуется проявлять повышенную осторожность в отношении этих угроз, учитывая обманчивый характер этих вредоносных действий, которые провоцируют непреднамеренное выполнение вредоносного программного обеспечения.

#ParsedReport #CompletenessHigh
22-07-2025

#StopRansomware: Interlock

https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-203a

Report completeness: High

Threats:
Interlock
Kerberoasting_technique
Clickfix_technique
Rhysida
Lumma_stealer
Darkgate
Cobalt_strike_tool
Systembc
Interlockrat
Nodesnake
Berserkstealer
Anydesk_tool
Putty_tool
Azcopy_tool
Screenconnect_tool
Fakecaptcha_technique
Process_injection_technique
Fortra_tool

Victims:
Business, Critical infrastructure sectors, Universities

Industry:
Government, Critical_infrastructure, Education, Healthcare

Geo:
America

TTPs:
Tactics: 13
Technics: 25

IOCs:
File: 12
Command: 1
Hash: 38

Soft:
Linux, Tor browser, Google Chrome, Microsoft Edge, Windows Registry, Chrome, WinSCP, ESXi, macOS, PSExec, have more...

Crypto:
bitcoin

Algorithms:
sha1, sha256, base64, aes

Functions:
Get-Service, Get-PSDrive, remove

Languages:
powershell

Platforms:
cross-platform

Links:
https://github.com/cisagov/Decider/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель Interlock нацелена на предприятия Северной Америки и Европы, используя модель двойного вымогательства с загрузкой с места происшествия и социальной инженерией для получения первоначального доступа. Он использует PowerShell для обеспечения сохраняемости, перехватывает учетные данные и шифрует данные с помощью AES и RSA, оставляя файлы с расширением .interlock. Вредоносная программа поражает как Windows, так и Linux, используя передовые методы фильтрации и подчеркивая важность строгих мер безопасности.
-----

Версия программы-вымогателя Interlock впервые появилась в конце сентября 2024 года и была нацелена на предприятия и критически важную инфраструктуру в Северной Америке и Европе. Отличающаяся оппортунистическими и финансово мотивированными атаками, Interlock использует модель двойного вымогательства, которая включает в себя как утечку данных, так и шифрование системы. Первоначальные методы доступа нетипичны для программ-вымогателей, в основном они включают в себя загрузку с взломанных веб-сайтов и метод социальной инженерии ClickFix, который обманом заставляет пользователей запускать вредоносные скрипты под предлогом устранения неполадок в их системах.

Получив доступ, эти злоумышленники развертывают сценарии PowerShell, которые могут обеспечить постоянство, изменяя конфигурации запуска Windows и регистрируя ключи. Примечательно, что эти сценарии могут маскировать вредоносные действия, используя законные имена файлов, тем самым избегая обнаружения. Установив точки соприкосновения, злоумышленники используют устройства для кражи учетных данных и кейлоггеры для сбора конфиденциальной информации о пользователях и учетных данных для входа в систему, что может облегчить перемещение по сети жертвы, используя такие методы, как протокол удаленного рабочего стола (RDP). Такие инструменты, как Cobalt Strike и SystemBC, используются для командования и контроля операций.

Шифрование происходит после фильтрации данных с использованием комбинации алгоритмов Advanced Encryption Standard (AES) и Rivest-Shamir-Adleman (RSA), в результате чего жертвы получают файлы с расширениями .interlock или .1nt3rlock. Механизм, лежащий в основе шифрования, включает в себя исполняемые файлы, которые могут самоуничтожаться, что затрудняет восстановление. Кроме того, программа-вымогатель Interlock использует сложные методы эксфильтрации с помощью таких инструментов, как AzCopy, нацеленных на учетные записи хранилища Microsoft Azure, наряду с традиционными средствами передачи файлов.

Вредоносная программа предназначена для работы как в среде Windows, так и в среде Linux, и обладает особыми возможностями шифрования виртуальных машин, а в будущем, возможно, и более широких систем. Угроза усугубляется тем, что авторы могут использовать методы Kerberoasting для взлома учетных записей администраторов, повышая тем самым свои привилегии доступа. Организациям настоятельно рекомендуется внедрять многофакторную аутентификацию, поддерживать современные системы, сегментировать сети и использовать надежные средства обнаружения конечных точек и реагирования на них, чтобы снизить риски, связанные с программами-вымогателями Interlock. В рекомендациях подчеркивается важность своевременного уведомления соответствующих органов о случаях использования программ-вымогателей.

#ParsedReport #CompletenessLow
22-07-2025

Cato CTRL Threat Research: Investigation of RMM Tools Leveraged by Ransomware Gangs in Real-World Incidents

https://www.catonetworks.com/blog/cato-ctrl-investigation-of-rmm-tools/

Report completeness: Low

Threats:
Hunters_international
Anydesk_tool
Screenconnect_tool
Medusa_ransomware
Simplehelp_tool
Living_off_ai_technique
Bloodhound_tool

Victims:
Manufacturing organization, Construction organization, Non-profit organization

Industry:
Military, Education, Healthcare

ChatGPT TTPs:
do not use without manual check
T1021, T1047, T1053, T1059.001, T1078, T1102, T1105, T1136, T1210, T1219, have more...

Soft:
PDQ Deploy

Languages:
powershell