#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ACRStealer - это вредоносная программа-похититель информации, действующая с начала 2023 года, использующая Google Docs и Steam для обмена данными C2 с помощью метода DeadDropResolver. В его последней версии реализованы сложные методы уклонения, включая метод "Небесных врат" и прямую связь с водителем AFD, что повышает его скрытность от наблюдения. Компания также использует зашифрованную передачу данных с использованием AES-256 и провела ребрендинг под названием AmateraStealer, постоянно совершенствуя свои возможности по краже информации.
-----

ACRStealer - это сложная вредоносная программа для кражи информации, которая активно распространяется с начала 2023 года. Она использует Google Docs и Steam для обмена данными между командами и контролем (C2) с помощью технологии DeadDropResolver (DDR). Недавние события указывают на то, что появилась модифицированная версия ACRStealer, которая предоставляет расширенные возможности для уклонения от обнаружения и противодействия усилиям по анализу, сохраняя при этом свою основную функцию - кражу информации.

Последняя версия ACRStealer использует технологию Heaven's Gate, которая позволяет выполнять код x64 в рамках процесса WoW64. Этот метод особенно эффективен для обхода обнаружения, тем более что он неприменим к процессорам x86. В отличие от стандартной практики, вредоносная программа устанавливает свои соединения C2, напрямую взаимодействуя с драйвером AFD, используя низкоуровневые функции NT, такие как NtCreateFile и NtDeviceIoControlFile, вместо того, чтобы полагаться на традиционные библиотеки, такие как WinHTTP и Winsock. Такой подход не только повышает скрытность его работы, но и позволяет вредоносному ПО избегать обнаружения обычными средствами мониторинга.

C2-коммуникация вредоносной программы претерпела изменения; она отправляет отдельные, жестко закодированные адреса домена хоста и фактические IP-адреса в заголовках HTTP. Этот метод особенно опасен, когда используются популярные домены, что приводит к неправильной идентификации сервера C2 некоторыми средствами безопасности. Для обмена данными используются протоколы HTTP и HTTPS, причем CloudFlare изначально использовался для HTTPS, что ограничивало возможность внесения изменений. В сценариях, требующих вмешательства в работу хоста, использовался самозаверяющий сертификат, а также усовершенствования для шифрования как исходящих, так и входящих данных, выходящие за рамки возможностей HTTPS. Алгоритм AES-256 (CBC) шифрует эти данные с помощью ключей, жестко закодированных в вредоносной программе.

Были внесены дополнительные изменения в процесс обмена данными C2. Предыдущие методы, использующие пути, такие как /Up/x и /enc_Up/x, были заменены случайными строками, выдаваемыми сервером при первоначальном подключении. Это добавляет дополнительный уровень к процессу обмена данными, создавая вариативность идентификаторов. Кроме того, запросы конфигурационных данных были переведены с метода GET на метод POST с полезной нагрузкой, структурированной в формате JSON, что исключает зависимость от предыдущих идентификационных строк.

ACRStealer по-прежнему способен красть информацию из различных браузеров, извлекая конфиденциальные данные, связанные с учетными записями, документами и криптовалютными кошельками. Вредоносная программа также сохраняет способность устанавливать дополнительные вредоносные компоненты в зависимости от ответов C2. Примечательно, что, как сообщалось, ACRStealer был переименован в AmateraStealer, что подчеркивает его активный и развивающийся характер как одной из наиболее динамично изменяющихся угроз для кражи информации, с которыми мы сталкиваемся в настоящее время. Постоянная бдительность и обновленные средства защиты имеют решающее значение, поскольку злоумышленники постоянно совершенствуют его функциональные возможности.

#ParsedReport #CompletenessMedium
22-07-2025

Gamers get ready: under the guise of cheats and mods, scammers distribute Trojan.Scavenger for the theft of cryptocurrency and passwords

https://news.drweb.ru/show/?i=15036&lng=ru&c=5

Report completeness: Medium

Threats:
Dllsearchorder_hijacking_technique
Scavenger
Typosquatting_technique

Victims:
Windows users, Russian enterprises

Industry:
Entertainment

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1055, T1071.001, T1074, T1105, T1119, T1132, T1204.002, T1213, have more...

IOCs:
File: 23
Hash: 23
Domain: 3

Soft:
Chromium, Google Chrome, Microsoft Edge, Yandex Browser, Opera, Bitwarden, LastPass

Wallets:
metamask, exodus_wallet

Algorithms:
zip

Win API:
CreateFilew

Languages:
javascript

Links:
https://github.com/DoctorWebLtd/malware-iocs/tree/master/Trojan.Scavenger

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Компания Dr.Web обнаружила семейство троянских программ ScaveNger, нацеленных на системы Windows с целью кражи конфиденциальной информации о криптовалюте и паролях. Используя DLL-файлы для перехвата порядка поиска, эти трояны проникают в системы через легальные приложения и могут отключать функции безопасности. Они собирают данные из таких кошельков, как Phantom и Metamask, а также из менеджеров паролей, избегая при этом виртуализированных сред и шифруя связь со своими командными серверами.
-----

Компания Dr. Web выявила семейство вредоносных троянских программ, известных как ScaveNger, которые нацелены на пользователей Windows с целью кражи конфиденциальной информации, связанной с криптовалютами и менеджерами паролей. Эти трояны используют метод перехвата DLL-файлов для заражения систем, используя легальные приложения в качестве средств развертывания. Этот метод заключается в размещении вредоносных библиотек DLL в местах, выбранных Windows в качестве приоритетных для поиска в библиотеке, гарантируя, что вредоносный код будет выполнен как часть законного приложения.

Процесс заражения трояном.Программа Scavenger является многоуровневой и начинается с загрузки троянских программ, которые могут проникать в целевые системы различными способами, включая пиратское программное обеспечение с торрент-сайтов. Например, троян.Scavenger.1 представляет собой библиотеку DLL с именем umpdc.dll и обычно распространяется вместе с играми, такими как Oblivion Remastered. После активации он извлекает дополнительные вредоносные модули, такие как Trojan.Scavenger.2, а затем и Trojan.Scavenger.3 и Trojan.Scavenger.4.

Троян.Scavenger.3 маскируется под легальную системную библиотеку в каталогах браузеров на базе Chromium. Он нейтрализует защитные функции, такие как "песочница", и модифицирует такие функции, как проверка расширений, путем исправления библиотеки. Этот троян захватывает конфиденциальные данные с криптовалютных кошельков, включая приватные ключи и мнемонические фразы, с таких платформ, как Phantom и Metamask, и собирает пароли из менеджеров паролей, таких как BitWarden и Lastpass.

Троянец.Scavenger.4, с другой стороны, специально манипулирует криптовалютным кошельком Exodus, выполняя перехват порядка поиска в DLL-библиотеке, чтобы перехватить функции в движке V8 для отслеживания ответов в формате JSON, тем самым перехватывая парольные фразы и отправляя их на свой сервер управления (C2).

Примечательным аспектом этого семейства троянских программ является их способность обнаруживать виртуализированные среды, что приводит к их завершению в случае обнаружения. Кроме того, они используют единый протокол связи со своим сервером C2, который включает механизм генерации ключей и проверки подлинности для обеспечения зашифрованной связи.

Dr.Web уведомил разработчиков об уязвимостях, используемых этими троянами, в частности, об перехвате порядка поиска в DLL-библиотеках; однако было сочтено, что эти уязвимости не требуют немедленного исправления. Важно отметить, что антивирусные решения Dr. Web уже включают средства защиты от подобных уязвимостей, снижая риски, связанные с троянцами.Вредоносное ПО Scavenger для своих пользователей.

#ParsedReport #CompletenessLow
22-07-2025

LameHug malware uses AI LLM to craft Windows data-theft commands in real-time

https://www.bleepingcomputer.com/news/security/lamehug-malware-uses-ai-llm-to-craft-windows-data-theft-commands-in-real-time/

Report completeness: Low

Actors/Campaigns:
Fancy_bear

Threats:
Lamehug_tool

Victims:
Executive government bodies, Ministry officials

Industry:
Government

Geo:
Ukraine, Ukrainian, Russian

ChatGPT TTPs:
do not use without manual check
T1027, T1059.006, T1082, T1083, T1105, T1566.001

IOCs:
File: 3

Soft:
Hugging Face

Algorithms:
zip

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
LameHug - это вредоносная программа, относящаяся к классу APT28, которая использует расширенную языковую модель через API Hugging Face для генерации команд в взломанных системах Windows. Она выполняет разведку системы и эксфильтрацию данных, используя скрытую связь для обеспечения сохранности.
-----

LameHug - это недавно обнаруженное семейство вредоносных программ, которое использует large language model (LLM) для генерации исполняемых команд в скомпрометированных системах Windows. Обнаруженная национальной группой реагирования на киберинциденты Украины CERT-UA вредоносная программа приписывается спонсируемой российским государством хакерской группе APT28, которая также известна под различными другими псевдонимами, такими как Sednit и Fancy Bear. Написанный на Python, LameHug использует API Hugging Face для взаимодействия с Qwen 2.5-Coder-32B-Instruct LLM для создания команд на основе заданных подсказок.

Эта вредоносная программа была обнаружена после того, как 10 июля CERT-UA получил сообщения о вредоносных электронных письмах, отправленных со взломанных учетных записей, которые выдавали себя за сотрудников правительственных министерств. Эти электронные письма были направлены на распространение LameHug в органах исполнительной власти Украины. Агентство со средней степенью уверенности полагает, что эти кампании связаны с APT28. В проанализированных случаях LameHug выполнял задачи, связанные с разведкой системы и извлечением данных. Команды, генерируемые LLM, были динамическими и позволяли вредоносному ПО собирать системную информацию, которую оно затем сохраняло в текстовом файле с именем info.txt. Кроме того, он смог выполнять рекурсивный поиск документов в ключевых каталогах Windows, включая "Документы", "Рабочий стол" и "Загрузки", с последующей фильтрацией собранных данных с помощью SFTP или HTTP POST-запросов.

Примечательно, что LameHug представляет собой первую публично задокументированную вредоносную программу, которая использует возможности LLM для достижения целей злоумышленника. Использование инфраструктуры Hugging Face может способствовать поддержанию скрытых операций командования и контроля, позволяя осуществлять необнаруживаемые коммуникации, которые продлевают срок существования вредоносной программы в целевых сетях. Динамически генерируемые команды также могут обойти традиционные меры безопасности, которые обычно основаны на идентификации жестко закодированных шаблонов команд. Поскольку CERT-UA не раскрывает, были ли команды, выполняемые LameHug, эффективными для достижения целей противников, остается неясным полный масштаб его операционного успеха.

#ParsedReport #CompletenessHigh
22-07-2025

Disrupting active exploitation of on-premises SharePoint vulnerabilities

https://www.microsoft.com/en-us/security/blog/2025/07/22/disrupting-active-exploitation-of-on-premises-sharepoint-vulnerabilities/

Report completeness: High

Actors/Campaigns:
Emissary_panda
Apt31 (motivation: cyber_espionage)
Storm-2603
Fin11

Threats:
Lockbit
Ngrok_tool
Trojan:win32/hijacksharepointserver.a
Toolshell_vuln

Victims:
Organizations, Government, Defense, Strategic planning, Human rights organizations, Former government and military personnel, Ngos, Think tanks, Higher education, Digital media, have more...

Industry:
Healthcare, Education, Ngo, Military, Government

Geo:
China, Asia, Chinese

CVEs:
CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)

CVE-2025-53771 [Vulners]
CVSS V3.1: 7.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-49704 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (2016, 2019)

CVE-2025-49706 [Vulners]
CVSS V3.1: 7.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_enterprise_server (2016)
- microsoft sharepoint_server (<16.0.18526.20424, 2019)


TTPs:
Tactics: 5
Technics: 3

IOCs:
File: 7
Url: 1
IP: 4
Hash: 1

Soft:
Microsoft Defender, Microsoft Defender for Endpoint, SharePoint Server, SharePoint server ASP.NET, Microsoft SharePoint Server, harePoint server -, harePoint server vu, Twitter, Office 365

Algorithms:
sha256

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Активные атаки нацелены на локальные серверы SharePoint, использующие CVE-2025-49706 и CVE-2025-49704, связанные с китайскими государственными структурами Linen Typhoon и Violet Typhoon. Злоумышленники используют вредоносные скрипты для извлечения конфиденциальных данных, что побуждает корпорацию Майкрософт выпускать срочные обновления для системы безопасности.
-----

19 июля 2025 года Центр реагирования Microsoft Security Response Center (MSRC) предупредил пользователей об активных атаках, использующих уязвимости в локальных серверах SharePoint, в частности CVE-2025-49706, уязвимость подмены, и CVE-2025-49704, которая позволяет удаленно выполнять код (RCE). Примечательно, что эти уязвимости затрагивают только локальные серверы SharePoint, за исключением SharePoint Online в Microsoft 365. Корпорация Майкрософт незамедлительно выпустила обновления для системы безопасности для всех поддерживаемых версий SharePoint Server (выпуски по подписке 2019 и 2016 годов), настоятельно рекомендуя клиентам применять эти обновления без промедления.

В обновления включены связанная с этим уязвимость CVE-2025-53770, которая также относится к RCE-аспекту CVE-2025-49704, и CVE-2025-53771, уязвимость для обхода системы безопасности, связанная с CVE-2025-49706. Microsoft обнаружила использование этих уязвимостей в основном двумя китайскими государственными структурами, Linen Typhoon и Violet Typhoon, а также другим китайским хакером, идентифицированным как Storm-2603. Расследования в отношении других участников, использующих эти уязвимости, продолжаются, и Корпорация Майкрософт выражает глубокую уверенность в том, что эти участники будут продолжать внедрять эти эксплойты в незащищенные системы.

В реальных сценариях атаки хакеры использовали созданный POST-запрос для загрузки вредоносного скрипта с именем spinstall0.aspx, с различными вариантами имени файла, такими как spinstall.aspx, spinstall1.aspx и другими. Этот скрипт запрограммирован на извлечение данных machineKey, что позволяет злоумышленникам извлекать конфиденциальные ключевые материалы. Попытки эксплуатации связаны с прошлой деятельностью этих субъектов: Linen Typhoon нацелен на такие сектора, как правительство и оборона, для хищения интеллектуальной собственности, в то время как Violet Typhoon специализируется на шпионаже против таких организаций, как НПО и аналитические центры.

Хотя Storm-2603 и связан с этими уязвимостями, он продемонстрировал прошлые действия, связанные с внедрением программ-вымогателей, хотя его текущие цели остаются менее ясными. Корпорация Майкрософт описала несколько тактик, методов и процедур (TTP), используемых этими хакерами во время их атак на серверы SharePoint. Рекомендации по снижению рисков включают использование интерфейса проверки на наличие вредоносных программ (AMSI) в антивирусе Microsoft Defender, его настройку на полный режим, обеспечение ротации SharePoint server ASP.NET ключи компьютера и использование Microsoft Defender для решений Endpoint.

Для организаций, использующих Microsoft Defender XDR, важно своевременно отслеживать признаки использования, в частности, создание файла spinstall0.aspx, выполнение процессов, связанных с активностью веб-сервера, и команды PowerShell, указывающие на действия после использования. Используя предоставленные средства визуализации, клиенты могут повысить свою защищенность от постоянных угроз, связанных с локальными уязвимостями SharePoint.

#ParsedReport #CompletenessHigh
22-07-2025

EdskManager RAT: Multi-Stage Malware with HVNC and Evasion Capabilities

https://www.cyfirma.com/research/edskmanager-rat-multi-stage-malware-with-hvnc-and-evasion-capabilities/

Report completeness: High

Threats:
Edskmanager
Hvnc_tool
Process_injection_technique

TTPs:
Tactics: 9
Technics: 21

IOCs:
Hash: 11
Domain: 2
Url: 1
IP: 1
File: 2
Path: 1

Soft:
Chrome

Algorithms:
sha256, md5

Functions:
send

Win API:
LoadLibraryA, GetProcAddress, CreateWindowExW, PeekMessageW

Languages:
delphi

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
EdskManager RAT - это сложный троян для удаленного доступа, который использует многоэтапное заражение с помощью легального загрузчика программного обеспечения. Он использует DLL-файлы для вредоносных операций, скрытую связь C2 и HVNC для секретного контроля зараженных систем, повышая эффективность обхода и сохраняемости с помощью различных методов и нацеливаясь на браузерные расширения для получения данных.
-----

EdskManager RAT - это сложный троян для удаленного доступа (RAT), который использует многоэтапный процесс заражения для получения скрытого доступа к системам. Изначально он распространяется через загрузчик, который маскируется под легальное программное обеспечение. Загрузчик запускает ряд компонентов, таких как VideoManagerEntry.exe, который подписан действительным цифровым сертификатом. Однако вредоносные возможности встроены в DLL-файлы, включая commonbase.dll, который отвечает за выполнение операций вредоносного ПО. Вредоносная программа манипулирует памятью во время выполнения, используя такие методы, как операции "память-память" и запутывание команд, которые усложняют анализ и препятствуют обнаружению.

Вредоносная программа взаимодействует с серверами управления (C2) скрытно, используя socket API для отправки и получения сообщений, сжатых zlib. Сообщение C2 скрыто в разделе .itext файла commonbase.dll, который содержит важные данные конфигурации, в то время как файл .edskv содержит зашифрованную информацию, критически важную для работы вредоносной программы. Такая структура позволяет EdskManager RAT поддерживать динамичную инфраструктуру C2, переключаясь между доменами, чтобы усовершенствовать тактику обхода и повысить долговечность работы в уязвимых средах.

Ключевой особенностью EdskManager RAT является использование скрытых виртуальных сетевых вычислений (HVNC), позволяющих злоумышленнику управлять зараженными машинами без видимого предупреждения жертвы. Он создает скрытые окна для облегчения своей работы, используя такие функции, как CreateWindowExW и PeekMessageW, для бесшумного прослушивания команд. Эта невидимость имеет решающее значение для его дизайна, поскольку позволяет злоумышленникам сохранять долгосрочный доступ и выполнять различные вредоносные действия незамеченными.

RAT демонстрирует передовые методы обхода, позволяющие избежать обнаружения программным обеспечением безопасности, включая подключение к API и отладчик. Он обеспечивает постоянство с помощью нескольких методов, создавая запланированные задачи, изменяя реестр автозапуска и размещая ярлыки в папке автозагрузки, чтобы обеспечить запуск после перезагрузки системы. Кроме того, EdskManager RAT проводит разведывательную деятельность, в частности, нацеливаясь на браузерные расширения для хранения конфиденциальных данных, которые позиционируют вредоносное ПО для потенциального использования в будущем.

#ParsedReport #CompletenessLow
22-07-2025

Operation "Liquidation": We study and block the infrastructure of the Nyashteam group

https://www.f6.ru/blog/nyashteam/

Report completeness: Low

Actors/Campaigns:
Nyashteam (motivation: cyber_criminal, cyber_espionage)

Threats:
Webrat
Dcrat
Xworm_rat

Industry:
Logistic, Entertainment, Petroleum

Geo:
Russian, Russia

ChatGPT TTPs:
do not use without manual check
T1005, T1055, T1056.001, T1071.001, T1105, T1106, T1113, T1204.002, T1219, T1566.002, have more...

IOCs:
Domain: 129
File: 1
Hash: 5

Soft:
Telegram, Steam

Algorithms:
sha1, sha256, md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Nyashteam предлагает Malware-As-A-Service (MaaS), предоставляя два семейства вредоносных программ, DCRAT и Webrat, ориентированных в первую очередь на русскоязычных пользователей. DCRAT, программа RAT для управления устройствами, и Webrat, программа для кражи данных в браузерах, поставляются с плагинами для специализированных атак. Более 350 доменов, размещенных на Nyashteam, способствовали распространению вредоносного ПО, что привело к целенаправленным фишинговым атакам.
-----

Аналитики F6 выявили и взломали сеть групповых доменов, занимающихся распространением вредоносного ПО и предоставлением услуг хостинга для инфраструктуры киберпреступности, используя модель, известную как "Вредоносное ПО как услуга" (MaaS). Эта модель позволяет неопытным злоумышленникам проводить сложные кибератаки с минимальными знаниями. Группа Nyashteam, которая работает как минимум с 2022 года, иллюстрирует эту тенденцию, предлагая два семейства вредоносных программ — DCRAT и Webrat — с помощью ботов Telegram и специализированных веб-сайтов. Группа нацелена в первую очередь на русскоязычную аудиторию, но ее сервисы доступны злоумышленникам по всему миру. Их популярность обусловлена относительно низкими затратами и удобным интерфейсом.

DCRAT - это троян удаленного доступа (RAT), признанный с 2018 года, который позволяет злоумышленникам управлять зараженными устройствами, перехватывать нажатия клавиш, получать доступ к веб-камерам, красть пароли и выполнять произвольные команды. Webrat специализируется на краже данных из браузеров, таких как пароли и файлы cookie, и поддерживает удаленные команды и доставку дополнительных вредоносных программ. Nyashteam расширяет свои услуги более чем 20 плагинами для DCRAT и Webrat, позволяя использовать различные вредоносные программы - от кражи данных до продвинутого шпионажа. Они предоставляют руководства по распространению вредоносных программ и инструменты для обработки данных, полученных из скомпрометированных систем, что повышает прибыльность их деятельности.

Операционная модель Nyashteam также предусматривает регистрацию доменов для размещения вредоносных программ, и аналитики F6 зарегистрировали более 350 доменов второго уровня. Эти домены часто выглядят законными и используются для облегчения распространения DCRAT. Примечательно, что Confman group использовала домен, связанный с Nyashteam, для распространения DCRAT с помощью фишинговых электронных писем, адресованных компаниям из различных отраслей, включая логистику и IT. Другая преступная группа, Businessman, использовала услуги Nyashteam для проникновения к пользователям более чем в 50 странах, уделяя особое внимание российским объектам.

В ответ на эти угрозы F6 направила уведомления о блокировке вредоносных доменов в соответствующие органы. К июлю 2025 года в зоне .ru было заблокировано более 110 таких доменов, а также Telegram-канал, распространяющий вредоносное программное обеспечение Nyashteam. Этот случай показывает, как упреждающий мониторинг и анализ инфраструктуры могут эффективно ограничить доступ провайдеров MaaS, хотя для противодействия растущим хакерским атакам необходимы постоянные усилия. Блокировка доменов остается важнейшей стратегией предотвращения распространения вредоносных программ в цифровом пространстве, демонстрируя важность скоординированных мер реагирования на киберпреступность.

#technique

Golden dMSA: What Is dMSA Authentication Bypass?

https://www.semperis.com/blog/golden-dmsa-what-is-dmsa-authentication-bypass/

#technique

Bloodfang is a modern implant with position independent code that compiles to 64 & 32 bit Windows systems. Compiled implant shellcode is about 6 KB (Kilobytes). Its execution in memory has very little footprint.

https://github.com/zarkones/BloodfangC2

#technique

LudusHound is a tool for red and blue teams that transforms BloodHound data into a fully functional, Active Directory replica environment via Ludus for controlled testing.

https://github.com/bagelByt3s/LudusHound

#technique

Evil VM: From Guest Compromise To Entra Admin In 9 Easy Steps

https://www.beyondtrust.com/blog/entry/evil-vm