#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Pay2Key - это новая программа-вымогатель, предназначенная для российских компаний с помощью фишинговых кампаний и использующая передовые методы уклонения от уплаты налогов и инструмент шифрования Mimic. В нем используются жестко запрограммированные ключи для шифрования, шифр ChaCha20 и протокол ECDH, а также выполняются сценарии для отключения антивирусной защиты. Увеличение числа целенаправленных атак свидетельствует об изменении ландшафта угроз среди русскоязычных киберпреступников.
-----

Сервис вымогательства Pay2Key, который с февраля 2025 года идентифицируется как новая программа-вымогатель как услуга (RaaS), появился на русскоязычных форумах по киберпреступности. Этот сервис основан на возможностях известного инструмента шифрования Mimic и работает в основном через анонимную сеть i2p. Несмотря на неофициальные запреты на атаки на предприятия в СНГ, Pay2Key нацелился на российские компании, в частности, в сфере финансов, строительства и розничной торговли, с помощью фишинговых кампаний.

Активность Pay2Key впервые была отмечена на форуме Gerki, где 23 февраля 2025 года было сделано объявление о его запуске, получившем название Rice. Вслед за этим в марте 2025 года аналитики F6 обнаружили три масштабные фишинговые кампании, направленные против российских пользователей. Набор инструментов, используемый Pay2Key, включает в себя сложные методы обхода антивирусного обнаружения, архивы SFX и различные тактики фишинга.

Pay2Key отличается сложной архитектурой вредоносного ПО, включая методы шифрования с использованием потокового шифра ChaCha20 и протокола эллиптической кривой Диффи-Хеллмана (ECDH) для обеспечения безопасности связи. Процесс шифрования отличается уникальным подходом: вместо генерации сеансовых ключей во время выполнения используется заранее определенный набор ключей, жестко закодированных в вредоносной программе. Такой подход повышает скорость и скрытность процесса шифрования.

В практических целях, таких как фишинговая кампания, нацеленная на российские финансовые учреждения, злоумышленники использовали электронные письма со ссылками на файлы Dropbox, замаскированные под законные коммерческие предложения. Например, в одной кампании использовался файл под названием "Nexcall.exe", который при запуске запускал цепочку сценариев и команд, использующих PowerShell для управления исполняемыми файлами и отключения защитника Windows. Это включало добавление файлов в списки исключений антивируса и обход контроля доступа пользователей для повышения привилегий.

Исследование выявило тревожную тенденцию: распространение предложений RaaS побуждает злоумышленников совершенствовать свои вредоносные программы и методы, чтобы выделиться в конкурентной среде киберпреступности. По мере роста частоты атак на российские предприятия и с учетом растущего числа группировок, которые в настоящее время открыто игнорируют ранее введенные ограничения в отношении стран СНГ, ожидается дальнейший рост угрозы, исходящей от таких сервисов, как Pay2Key.

Подводя итог, можно сказать, что новые доминирующие характеристики Pay2Key подчеркивают эволюцию хакеров, демонстрирующих передовые методы и агрессивные стратегии таргетинга, которые представляют значительные риски для различных секторов в регионе.

#ParsedReport #CompletenessLow
31-07-2025

UNC2891 Bank Heist: Physical ATM Backdoor & Linux Forensic Evasion Evasion

https://www.group-ib.com/blog/unc2891-bank-heist

Report completeness: Low

Actors/Campaigns:
Lightbasin (motivation: financially_motivated)

Threats:
Caketap
Tinyshell

Victims:
Banks, Atm operators

Industry:
Financial

TTPs:

ChatGPT TTPs:
do not use without manual check
T1018, T1036, T1195.003, T1564.013, T1568.003

Soft:
Linux, Raspberry Pi

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
UNC2891 осуществил сложное банковское вторжение, используя Raspberry Pi для физического доступа и передовые методы уклонения, включая новую тактику борьбы с криминалистикой (T1564.013), использующую злоупотребление подключением Linux bind. Черный ход, замаскированный под "lightdm", передавался по динамическому каналу DNS для манипулирования снятием наличных в банкоматах, избегая обнаружения, что иллюстрирует необходимость усиления защиты от кибербезопасности.
-----

Анализ сложного банковского вмешательства UNC2891 выявил многоуровневый подход, включающий комбинацию физического доступа и передовых методов уклонения, нацеленных на критически важную банковскую инфраструктуру. Хакерская группа использовала ранее недокументированную тактику борьбы с криминалистикой, получившую обозначение T1564.013 в платформе MITRE ATT&CK, которая использует злоупотребление монтированием Linux bind для сокрытия бэкдорных процессов. Первоначальный доступ к сети был получен путем физической установки устройства Raspberry Pi в банкомате, подключенного к тому же сетевому коммутатору, что позволило интегрировать его непосредственно во внутреннюю сеть банка. Это устройство использовало модем 4G для обеспечения удаленного доступа по каналу динамического управления DNS (C2), устанавливая постоянное соединение, которое обходило обычную охрану периметра.

Криминалистические исследования выявили необычное поведение сети, в том числе отправку исходящих сигналов каждые 600 секунд и повторные попытки подключения к определенному порту, однако отсутствие каких-либо видимых процессов в списке процессов наводило на мысль об использовании руткита или других анти-криминалистических мер. Вредоносный двоичный файл маскировался под законный системный процесс под названием "lightdm", предназначенный для дальнейшего сокрытия своего присутствия. Этот подход помешал первоначальным усилиям криминалистов, поскольку обычные методы сортировки не смогли обнаружить бэкдор из-за эффективного использования привязок для скрытия артефактов.

Конечной целью кампании было скомпрометировать сервер коммутации банкоматов, что позволило внедрить руткит под названием CAKETAP, который манипулировал ответами аппаратного модуля безопасности (HSM) и подделывал сообщения авторизации, чтобы облегчить несанкционированное снятие наличных в банкоматах. Несмотря на скрытый и изощренный характер вторжения, атака была в конечном счете предотвращена до завершения этих вредоносных действий.

Более того, расследование показало, что даже после обнаружения устройства Raspberry Pi злоумышленники сохранили доступ через черный ход, расположенный на внутреннем почтовом сервере с прямым подключением к Интернету, продемонстрировав многогранную стратегию доступа, которая усложняет традиционные меры сдерживания. Этот инцидент подчеркивает необходимость использования как физического, так и логического доступа при моделировании угроз для банковских инфраструктур, а также острую потребность в экспертизе памяти и сети в современных методах реагирования на инциденты. Интеграция передовых методов может ввести в заблуждение традиционные инструменты судебной экспертизы, что требует изменения парадигмы в том, как структурированы и реализуются средства защиты от кибербезопасности.

#ParsedReport #CompletenessLow
31-07-2025

Analysis of the latest Silver Fox attack campaign disguised as a Flash plugin

https://medium.com/@knownsec404team/analysis-of-the-latest-silver-fox-attack-campaign-disguised-as-a-flash-plugin-7cd92d193de1

Report completeness: Low

Actors/Campaigns:
Silver_fox (motivation: information_theft)
Golden_eyed_dog

Threats:
Winos

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036.005, T1059.003, T1071, T1105, T1140, T1189, T1192, T1204.001, have more...

IOCs:
File: 5
Hash: 9
IP: 16
Domain: 1
Email: 1

Soft:
Zoom, Youdao, letsvpn

Languages:
golang

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступная группа Silver Fox, действующая с 2022 года, использует изощренную тактику для распространения вредоносных программ, замаскированных под законные инструменты, такие как Google Translate. Они используют уязвимости, связанные с утечкой исходных кодов троянских программ, и используют такие методы, как обфускация кода и обходы "песочницы", при этом их вредоносное ПО позволяет осуществлять удаленное управление и утечку данных.
-----

Команда Advanced Threat Intelligence, известная как Security 404, обнаружила всплеск активности киберпреступной группировки Silver Fox, которая действует с 2022 года и все чаще использует изощренные тактики для распространения своих вредоносных программ. Группа маскирует свое вредоносное программное обеспечение под законные инструменты, такие как Google Translate, чтобы заманить пользователей переходить по зараженным ссылкам. После взаимодействия пользователям выдается вводящее в заблуждение сообщение об устаревшей версии Flash, что приводит к загрузке вредоносного установщика, который после выполнения запускает дополнительные полезные программы, тем самым ставя под угрозу работу хост-системы.

Silver Fox использует множество каналов распространения, включая фишинговые электронные письма, поддельные страницы загрузки и мгновенные сообщения, расширяя свой охват. Недавно были использованы уязвимости, связанные с утечкой исходных кодов основных троянских программ, включая Winos 4.0, что способствовало превращению Silver Fox в более широкое семейство вредоносных программ, адаптированных различными хакерами, в том числе организациями APT (APPART). Конкретные варианты вредоносного ПО включают установочные пакеты в форматах MSI и EXE, причем пакеты MSI, в частности, выполняют пакетный сценарий, который работает вместе с вредоносной полезной нагрузкой, включая скрытый установщик с именем Microsoftdata.exe, созданный в Golang.

Вредоносный код демонстрирует структурированный подход, использующий основную функциональность, размещенную в шеллкоде, который расшифровывает и выполняет полезную нагрузку, скрытую в таких ресурсах, как Xps.dtd. Таким образом, троянец, идентифицированный как Winos, обладает множеством функциональных возможностей, позволяющих осуществлять удаленное управление и фильтрацию данных. Модульная конструкция вредоносной программы позволяет различным хакерам перепрофилировать ее и переименовывать, повышая ее стойкость и тактику обхода с помощью таких методов, как обфускация кода и обхода "песочницы".

Операционная стратегия Silver Fox предусматривает переупаковку распространенных приложений и использование обманчивых всплывающих окон для увеличения количества загрузок вредоносных пакетов пользователями. Этот хакер превратился в заметную группу в экосистеме китайского Интернета, создавая серьезные риски для безопасности личных данных и данных организаций. Продолжающееся распространение вредоносного ПО Silver Fox требует повышения осведомленности пользователей и их вовлеченности в практику кибербезопасности, что подчеркивает важность регулярного обновления программного обеспечения для устранения уязвимостей.

#ParsedReport #CompletenessMedium
31-07-2025

Mimo gang weaponizes religious symbols to deliver 4L4MD4r ransomware using Microsoft SharePoint RCE vulnerability

https://mp.weixin.qq.com/s/h6_ijQAHhq4tersaBE5fXQ

Report completeness: Medium

Threats:
Hezb
4l4md4r
Raindrop_tool

Victims:
Medical customer

Industry:
Healthcare, Government

Geo:
Italian

CVEs:
CVE-2025-49704 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (2016, 2019)


ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1105, T1190, T1486

IOCs:
Path: 2
Command: 1
Url: 1
File: 3
Email: 1
Hash: 1

Soft:
Microsoft SharePoint, Microsoft SharePoint server, SharePoint server

Algorithms:
md5, base64

Languages:
powershell, golang

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В июле 2025 года хакерская группа Mimo воспользовалась несколькими уязвимостями RCE в серверах Microsoft SharePoint, внедрив программу-вымогатель Golang 4L4MD4R, которая использует названия функций на религиозную тематику и выполняет полезную нагрузку в памяти с помощью средств защиты от отладки. При атаке на внешние серверы пока не было зафиксировано никаких выплат выкупа, но организациям настоятельно рекомендуется усилить защиту от этих уязвимостей.
-----

В июле 2025 года на серверах Microsoft SharePoint было обнаружено несколько уязвимостей для удаленного выполнения кода (CVE-2025-49704, CVE-2025-49706, CVE-2025-53770, CVE-2025-53771). Эти уязвимости широко используются, затрагивая десятки тысяч серверов по всему миру, и группы злоумышленников активно атакуют эти системы. Команда Red Raindrop из Центра анализа угроз Цяньсинь провела тщательный мониторинг и анализ ситуации. 27 июля они обнаружили вторжение на внешний сервер SharePoint медицинского клиента, где злоумышленники пытались выполнить вредоносные команды PowerShell. К счастью, эти действия были перехвачены системой защиты TianQing.

Дальнейшее расследование атаки выявило участие нового варианта программы-вымогателя, получившего название 4L4MD4R, который был разработан в Golang. В названиях функций программы-вымогателя явно прослеживается религиозная тематика, и есть основания полагать, что она связана с финансово мотивированной хакерской группой, известной как Mimo. Оперативные данные программы-вымогателя указывают на то, что перед запуском она сначала получает свою полезную информацию с итальянского сайта springboard. Система обороны Тяньцина эффективно пресекла эту попытку.

Программа-вымогатель 4L4MD4R использует технологию расшифровки своей конечной полезной нагрузки в памяти. Примечательно, что она включает в себя меры по предотвращению отладки, которые проверяют прошедшее время и завершают работу, если операция превышает заданный предел. Анализ биткоин-кошелька злоумышленника выявил 40 зарегистрированных транзакций, но примечательно, что ни в одной транзакции не был зафиксирован выкуп в размере 0,005 BTC, что указывает на то, что ни одна жертва еще не поддалась требованиям этого варианта программы-вымогателя. Организациям рекомендуется использовать усовершенствованный механизм защиты от угроз "Liuhe" компании TianQing для устранения этих уязвимостей и защиты своих серверных сред от подобных угроз.

#ParsedReport #CompletenessLow
31-07-2025

Proxyware malware distributed on YouTube video download sites

https://asec.ahnlab.com/ko/89293/

Report completeness: Low

Threats:
Dropper/win.proxyware.c5783593
Trojan/win.proxyware.c5783607
Trojan/win.proxyware.c5783598
Digitalpulse

IOCs:
Hash: 5
Url: 5

Algorithms:
md5

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, table: 1, code: 1

#ParsedReport #CompletenessMedium
31-07-2025

Dark Web Profile: SafePay Ransomware

https://socradar.io/dark-web-profile-safepay-ransomware/

Report completeness: Medium

Threats:
Safepay
Mimikatz_tool
Screenconnect_tool
Rclone_tool
Shadow_copies_delete_technique
Uac_bypass_technique
Credential_dumping_technique
Lolbin_technique
Qdoor
Credential_harvesting_technique
Sharefinder_tool

Industry:
Transport, Critical_infrastructure, Financial, Foodtech, Healthcare, Logistic, Education

Geo:
Australia, Asia-pacific, Canada, Georgian, Russian, Latin america, Belarusian, Germany, Azerbaijani, United kingdom, America, Asia, Ukrainian

TTPs:
Tactics: 11
Technics: 17

IOCs:
File: 2

Soft:
Microsoft Teams, Windows Registry, Microsoft Defender

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SafePay - это группа программ-вымогателей, использующая модель двойного вымогательства, нацеленная на сервисы удаленного доступа и использующая такие методы, как сбор учетных данных и фишинг, для проникновения в сети. Они используют неправильные настройки для обхода многофакторной аутентификации, используют PowerShell и пакетные сценарии для атак, а также специализированное программное обеспечение-вымогатель с шифрованием, которое включает расширение .safepay. Они также специализируются на удалении конфиденциальных данных и создании резервных копий, чтобы заставить жертв заплатить выкуп.
-----

SafePay - это группа программ-вымогателей, появившаяся в сентябре 2024 года, отличающаяся двойным подходом к вымогательству, при котором они шифруют файлы и угрожают утечкой украденных данных, если выкуп не будет выплачен, как правило, в криптовалюте. Действуя независимо, SafePay выявила 265 жертв по всему миру, значительное число из которых находится в Соединенных Штатах и Германии. Группа старается не заражать системы, настроенные на определенные языки, относящиеся к Содружеству Независимых Государств (СНГ), что указывает на тактический выбор, позволяющий избежать судебного преследования.

Группа демонстрирует методичный подход, проводя предварительную разведку перед атакой для выявления уязвимостей, которыми можно воспользоваться. Они получают действительные учетные данные пользователей через инфокрадов и темные веб-рынки и используют распространенные точки входа, в частности, нацеливаясь на службы удаленного доступа, такие как VPN-шлюзы и конечные точки RDP. SafePay успешно обходила механизмы многофакторной аутентификации из-за неправильно настроенных брандмауэров и ненадежных паролей. Их тактика также включает фишинг и вишинг-рассылку, когда они обманом заставляют пользователей запускать вредоносное ПО или разрешать удаленный доступ.

Проникнув в сеть, SafePay использует такие скрипты, как пакетные файлы и PowerShell, для управления своей инфраструктурой атак. Они используют методы, основанные на реальных событиях, полагаясь на законные средства Windows для незаметного выполнения вредоносного кода. Программа-вымогатель сама по себе является модульной и может быть адаптирована для конкретных сред путем определения того, какие диски следует шифровать и следует ли самоудалять после шифрования. Для обеспечения долгосрочного доступа группа устанавливает законные средства удаленного доступа, такие как ConnectWise ScreenConnect, и иногда использует пользовательские вредоносные программы, такие как QDoor, что позволяет избежать обнаружения этих средств, вписываясь в обычную работу.

Повышение привилегий - одна из первых задач SafePay, поскольку они часто начинают с учетных записей с низкими привилегиями и стремятся получить права администратора домена. Такие инструменты, как Mimikatz, используются для извлечения учетных данных из памяти, что позволяет осуществлять горизонтальное перемещение по сети. На протяжении всей атаки SafePay осуществляет непрерывный сбор учетных данных, ориентируясь на сохраненные учетные данные в различных приложениях. Этому процессу способствуют общие административные ресурсы, а также пакетные файлы и сценарии PowerShell для поддержания видимости нормальной работы.

Перед развертыванием полезной нагрузки программы-вымогателя SafePay тратит дни на сбор конфиденциальных данных, ручную и автоматическую идентификацию ценных файлов, которые они сжимают и удаляют с помощью инструментов, минимизирующих риск обнаружения. Их метод шифрования надежен, он включает в себя надежные алгоритмы и переименование файлов с расширением .safepay. Кроме того, они стремятся исключить потенциальные возможности восстановления, ориентируясь на резервные копии и гипервизоры, критически важные для инфраструктуры организации, что максимально увеличивает давление на жертв, вынуждая их выполнять требования о выкупе.

#ParsedReport #CompletenessMedium
01-08-2025

Plague: A Newly Discovered PAM-Based Backdoor for Linux

https://www.nextron-systems.com/2025/08/01/plague-a-newly-discovered-pam-based-backdoor-for-linux/

Report completeness: Medium

Threats:
Plague
Antidebugging_technique

Industry:
Software_development

Geo:
China, Usa

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1078.003, T1146, T1497, T1505.002

IOCs:
Hash: 7
File: 10

Soft:
Linux, Debian, Ubuntu

Algorithms:
xor

Functions:
Runner

Languages:
python

Platforms:
x86

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Plague - это скрытый бэкдор для Linux, функционирующий как подключаемый модуль аутентификации (PAM), позволяющий осуществлять постоянный доступ по SSH без обнаружения антивирусными системами. Он использует расширенные возможности обфускации, защиты от взлома и вмешательства в среду, такие как удаление данных о сеансе SSH и использование жестко заданных статических паролей для скрытого доступа.
-----

Недавние усилия по поиску угроз позволили обнаружить ранее незамеченный Linux-бэкдор, известный как Plague. Эта вредоносная программа работает как вредоносный подключаемый модуль аутентификации (PAM), который позволяет злоумышленникам обходить системную аутентификацию и поддерживать постоянный доступ по SSH. Примечательно, что образцы вируса Plague были загружены в VirusTotal без получения предупреждений от каких-либо антивирусных систем, что указывает на его скрытность и эффективность в обходе механизмов обнаружения. Низкий уровень обнаружения — 0 из 66 систем, помечающих образцы как вредоносные, - указывает на серьезный пробел в существующих мерах безопасности.

Дизайн Plague тщательно интегрируется со стеком аутентификации Linux, что позволяет ему выдерживать обновления системы, оставляя при этом минимум следов криминалистической экспертизы. Эта особенность в сочетании со сложными методами обфускации и вмешательства в среду делает его особенно трудным для идентификации с помощью обычных средств безопасности. Вредоносная программа продолжает работать, не привлекая внимания, демонстрируя риски, связанные с бэкдорами, которые используют важные системные компоненты, такие как PAM.

Изучение двоичных файлов позволяет выявить метаданные о версии компилятора, которые позволяют предположить, что эта вредоносная программа поддерживалась в течение длительного периода времени. Некоторые двоичные файлы удалены не полностью, что еще раз подтверждает столь длительную историю их использования. Хотя происхождение чумы остается неоднозначным, наличие раннего образца под названием "угон" может дать представление о ее происхождении.

Plague включает в себя несколько расширенных функций для повышения скрытности и стойкости. Средства защиты от взлома препятствуют обратному проектированию, в то время как сложные методы обфускации строк усложняют обнаружение. В первоначальных образцах использовалось простое XOR-шифрование, но в последующих версиях использовались более сложные процедуры шифрования, похожие на методы KSA и PRGA. В последних версиях даже реализован уровень детерминированного генератора случайных битов (DRBG), что значительно усложняет процесс извлечения.

Еще одним примечательным аспектом функциональности Plague является тщательная очистка среды выполнения. Программа активно удаляет любые свидетельства сеансов SSH, отключая такие переменные среды, как SSH_CONNECTION и SSH_CLIENT, и перенаправляя журналы истории команд в /dev/null. Такое превентивное вмешательство эффективно стирает цифровой след злоумышленника и позволяет избежать оставления следов, которые могли бы вызвать тревогу.

Бэкдор также содержит жестко запрограммированные статические пароли, позволяющие злоумышленникам получать скрытый доступ, не требуя аутентификации пользователя. Эта возможность еще больше усложняет обнаружение и устранение неполадок.

#ParsedReport #CompletenessMedium
01-08-2025

INSIDE QILIN RANSOMWARE AFFILIATEs PANEL

https://theravenfile.com/2025/08/01/inside-qilin-ransomware-affiliates-panel/

Report completeness: Medium

Actors/Campaigns:
Hastalamuerte
Qilin

Threats:
Qilin_ransomware
Mimikatz_tool
Themida_tool
Netexec_tool
Password_spray_technique
Kerberoasting_technique
Bloodhound_tool
Sqlmap_tool
Donpapi_tool
Realblindingedr_tool
Meshcentral_tool
Pyfuscator_tool
Chromekatz_tool
Chlonium_tool
Pypycatz_tool
Sharprdp_tool
Xenorat
Caro-kann_tool
Gophish_tool
Sigmapotato_tool
Cobalt_strike_tool
Elusivemice_tool
Hackbot_tool
Malleable_c2_tool
Follinapy_tool
Follina_vuln
Acunetix_tool
Log4shell_vuln
Spring4shell
Scarecrow
Subra_tool
Petitpotato_tool
Petitpotam_vuln
Empire_loader
Flaresolverr_tool
Amass_tool
Xsser_tool
Tamperdev_tool
Openbullet_tool

Victims:
Palau health ministry, Utsunomiya cancer center, Lee enterprises

Industry:
Healthcare

Geo:
Thailand, Palau, Russian

CVEs:
CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)

CVE-2023-36025 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (-)
- microsoft windows_10_1607 (-)
- microsoft windows_10_1809 (-)
- microsoft windows_10_21h2 (-)
- microsoft windows_10_22h2 (-)
have more...
CVE-2021-40444 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.19060)
- microsoft windows_10_1607 (<10.0.14393.4651)
- microsoft windows_10_1809 (<10.0.17763.2183)
- microsoft windows_10_1909 (<10.0.18363.1801)
- microsoft windows_10_2004 (<10.0.19041.1237)
have more...
CVE-2024-30090 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20680)
- microsoft windows_10_1607 (<10.0.14393.7070)
- microsoft windows_10_1809 (<10.0.17763.5936)
- microsoft windows_10_21h2 (<10.0.19044.4529)
- microsoft windows_10_22h2 (<10.0.19045.4529)
have more...
CVE-2022-30190 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.19325)
- microsoft windows_10_1607 (<10.0.14393.5192)
- microsoft windows_10_1809 (<10.0.17763.3046)
- microsoft windows_10_20h2 (<10.0.19042.1766)
- microsoft windows_10_21h1 (<10.0.19043.1766)
have more...

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.001, T1003.005, T1021.002, T1027, T1047, T1055.012, T1059.001, T1059.003, T1105, T1110.003, have more...

IOCs:
Domain: 1
File: 4
Hash: 9
Path: 1

Soft:
Twitter, Windows Defender, Active Directory, MSSQL, Azure AD, DeepSeek, Windows installer, node.js, Chromium, AWVS, have more...

Crypto:
bitcoin

Algorithms:
sha1, md5, sha256

Functions:
Find-GH-POC

Languages:
python, powershell, javascript, java

#ParsedReport #GeneratedSchema
Generated with GPT-4