#ParsedReport #CompletenessMedium
12-08-2025

Picture Paints a Thousand Codes: Dissecting Image-Based Steganography in a .NET (Quasar) RAT Loader

https://www.splunk.com/en_us/blog/security/image-steganography-quasar-rat-detection.html

Report completeness: Medium

Threats:
Quasar_rat
Steganography_technique
Spear-phishing_technique
Motw_bypass_technique
Agent_tesla
Formbook
Masslogger

Industry:
Telco

TTPs:

IOCs:
File: 12
Hash: 14

Soft:
Opera, Firefox, Microsoft Edge, Google Chrome, Windows registry, WinSCP, windows scheduled task, Internet Explorer, Slack

Algorithms:
base64, aes, xor

Platforms:
x86

Links:
https://github.com/tccontre/KnowledgeBase/tree/main/malware\_re\_tools/pixdig
https://gist.github.com/tccontre/9b3630d80c0e15bd6c75010c68df4ee2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Загрузчик .NET, поставляемый с помощью spearphishing (с подделкой значков), запускает Quasar RAT с использованием Стеганографии на основе изображений: BMP-ресурс, проанализированный дешифратором PNG (captive.dll ) восстанавливает заглушку (montero.dll ), который извлекает и расшифровывает вторую полезную нагрузку в формате PNG и зашифрованный большой двоичный объект ресурса. Quasar собирает учетные данные браузера и файла/реестра, сохраняется с помощью ключей запуска реестра и автозагрузки.URL, удаляет зону.Идентификатор, использует задержки ping и runas для уклонения от синхронизации и повышения привилегий, собирает инвентарь через WMI и поддерживает обратный прокси C2. Конфигурации закодированы в Base64/AES; сетевое поведение включает запросы проверки IP (api.ipify.org , ipwho.is ) и сигнатуры Snort (SIDS 1:65142,1:65132,1:65133,1:301276).
-----

Образцом является .NET-загрузчик, доставляемый с помощью Целевого фишинга с вложениями (T1566.001), который использует подмену значков для отображения в качестве доброкачественных документов. Он использует Стеганографию на основе изображений (T1027.003) для обработки своей полезной нагрузки: исходный ресурс BMP анализируется заглушкой дешифратора PNG (captive.dll ), который выполняет итерацию пиксельных компонентов RGB для поэтапного восстановления заглушки (до трех байт на пиксель). Этот огрызок (montero.dll ) расшифровывает и извлекает вторую полезную нагрузку из PNG, хранящегося в ресурсах загрузчика, используя аналогичное извлечение на основе пикселей, прежде чем расшифровать зашифрованный большой двоичный объект в метаданных ресурса в качестве конечной полезной нагрузки: Quasar RAT.

Возможности Quasar RAT включают в себя сбор учетных записей браузера (T1555.003), ориентированный на Opera, Firefox, Edge, Brave, Yandex и Chrome для извлечения сохраненных имен пользователей, паролей, кредитных карт и файлов cookie, а также сбор учетных данных, хранящихся в файлах или реестре (T1552.001), таких как FileZilla Site Manager и последние настройки сервера. Закрепление достигается с помощью ключей запуска реестра и путем удаления .Ярлыки URL-адресов в папке автозагрузки Windows (T1547.001). Вредоносное ПО удаляет зону.Идентификатор (Mark-of-the-Web), предназначенный для Нарушения работы средств контроля доверия (T1553.005). Он использует задержки на основе ping в пакетных сценариях, чтобы затруднить анализ в изолированной среде и уклонение от обнаружения на основе времени (командная оболочка T1059.003).

Попытки повышения привилегий используют Windows runas (Манипуляции с токенами доступа, T1134). Quasar собирает системный инвентарь (T1082) через WMI для создания маяка и включает функцию обратного прокси (T1090) для ретрансляции трафика злоумышленника через скомпрометированные хосты. Метаданные конфигурации и этапа встроены в кодировку Base64 и зашифрованы AES, содержат версию сборки, адреса C2, пути удаления, байты подписи для проверки клиента и сертификат X.509 для защищенной связи. Сетевое поведение включает запросы к Веб-службам проверки IP-адресов (например, api.ipify.org , ipwho.is ) обнаруживается с помощью Sysmon EventCode 22 и мониторинга DNS. Артефакты обнаружения и сетевые сигнатуры были созданы в виде правил Snort (SID, включая 1:65142, 1:65132, 1:65133 для Snort 2 и 1:65142, 1:301276 для Snort 3) выпущен в пакете 2025-07-21 для обнаружения загрузок загрузчика и начального трафика Quasar C2.

#ParsedReport #CompletenessMedium
12-08-2025

From ClickFix to Command: A Full PowerShell Attack Chain

https://www.fortinet.com/blog/threat-research/clickfix-to-command-a-full-powershell-attack-chain

Report completeness: Medium

Actors/Campaigns:
Muddywater

Threats:
Clickfix_technique
Lolbin_technique

Victims:
Israeli organizations, Regional business landscape

Industry:
Healthcare

Geo:
Israeli

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1566.001

IOCs:
Url: 6
Command: 1
Path: 1
File: 3
Hash: 1

Soft:
Microsoft Teams

Algorithms:
exhibit, sha256, gzip, base64

Functions:
Get-Decompress, Get-File

Win API:
decompress

Win Services:
WebClient

Languages:
powershell, python

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1, code: 7

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Целенаправленный фишинг через скомпрометированную внутреннюю электронную почту привел к появлению фишингов -сайта с запутанным загрузчиком PowerShell Base64, разделенным на три строки, которые загружают вторичный этап PowerShell. Вторичный этап считывает локальный test.html чтобы реконструировать окончательный .ps1, включив RAT без файлов / в памяти с рандомизированным опросом (\~ 2-7 секунд), вызывающий Get-Appversion для отправки регистраций. C2 использует многоуровневое кодирование (GZip, Base64, reverse), декодируемое с помощью Get-распаковки; команды используют числовые префиксы; коммуникационные рычаги.ЧИСТЫЙ HTTP, urlmon.пользовательский агент dll, учетные данные Windows по умолчанию и системный прокси-сервер, а кампания демонстрирует боковое расширение, избегая RMM и публичного хостинга.
-----

Вторжение начинается с целенаправленного фишинга электронных писем, распространяемых через скомпрометированную внутреннюю инфраструктуру электронной почты, с использованием социально ориентированных сообщений (наставническая сессия по медицинским/фармацевтическим поставкам военного времени) для поощрения обмена информацией и внутреннего распространения. HTML-код сайта фишинга содержит запутанную команду PowerShell в кодировке Base64, разделенную на три строки, которая служит начальным загрузчиком и запускает вторичный этап PowerShell.

Вторичный этап считывает локальный test.html файл для восстановления окончательной вредоносной полезной нагрузки .ps1. Вся цепочка заражения, включая доставку и выполнение троянца удаленного доступа (RAT), реализована в PowerShell, что эффективно обеспечивает работу без файлов или в памяти без удаления традиционных исполняемых файлов. Постоянный цикл опроса реализует случайные переходы в спящий режим (по умолчанию \~ 2-7 секунд), чтобы избежать обнаружения, и повторно вызывает функцию с надписью Get-Appversion для отправки регистраций в C2.

Ответы C2 передаются в многоуровневой кодированной форме: сжатой в GZip, закодированной в Base64 и обратной. Клиент декодирует и распаковывает эти ответы локально, используя процедуру Get-распаковки. Команды обрамлены числовыми префиксами, которые соотносятся с конкретными действиями, позволяя RAT анализировать и выполнять различные инструкции удаленно. Скрытность на сетевом уровне включает в себя использование собственных HTTP-запросов .NET, установку законного пользовательского агента через urlmon.dll, используя учетные данные Windows по умолчанию и соблюдая настройки системного прокси-сервера, чтобы они сочетались с обычным трафиком.

Операционное поведение демонстрирует горизонтальную экспансию за счет использования недавно взломанных сред для нацеливания на другие организации, но актор избегал инструментов RMM и общедоступных сервисов размещения файлов, которые обычно используются в подобных кампаниях. Сочетание многоуровневой обфускации, выполнения в PowerShell в памяти, рандомизированного опроса и собственных сетевых API Windows демонстрирует подход living-off-the-land, ориентированный на уклонение и устойчивую связь C2.

#ParsedReport #CompletenessMedium
12-08-2025

VexTrio Unmasked: A Legacy of Spam and Homegrown Scams

https://blogs.infoblox.com/threat-intelligence/vextrio-unmasked-a-legacy-of-spam-and-homegrown-scams/

Report completeness: Medium

Threats:
Vextrio
Fakecaptcha_technique
Holacode
Adspro
Lospollos
Locomind
Residential_proxy_technique

Victims:
Internet users, Consumers

Industry:
Energy, Government, Software_development

Geo:
Ukrainian, German, Ukraine, Belarus, Japanese, Belarussian, Bulgaria, Switzerland, Czechia

ChatGPT TTPs:
do not use without manual check
T1583.001, T1584

IOCs:
Domain: 19
Url: 8
IP: 4

Soft:
Instagram, Google Play, SendGrid, Tinder, TikTok, Dropbox, Gmail

Languages:
php

Platforms:
apple, arm

Links:
https://github.com/infobloxopen/threat-intelligence/tree/main

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
VexTrio управляет экосистемой партнерского мошенничества, используя смарт-ссылки и сети (Los Pollos, Adtrafico, TacoLoco), которые направляют трафик на целевые страницы, контролируемые VexTrio, для двойной монетизации. При распространении используются push-запросы в браузере, спам по электронной почте, злоупотребления платформой и инвестиционные приманки, ведущие к крипто-мошенничеству; похожие почтовые домены (sendgrid.rest, mailgun.fun) публикуют SPF для облегчения доставки спама. Они публикуют вредоносные мобильные приложения под несколькими псевдонимами разработчиков в магазинах приложений и управляют инфраструктурой, охватывающей мошеннические сервисы и кажущиеся законными бизнес-направления.
-----

VexTrio - это давно работающее мошенническое предприятие, которое управляет скоординированной экосистемой партнерских сетей, смарт-ссылок, вредоносных приложений и инфраструктуры рассылки спама. Группа управляет партнерскими сетями (названными в отчетах как Los Pollos, Adtrafico, TacoLoco), которые продвигают несколько вертикалей — знакомства, для взрослых, лотереи, nutra и crypto — используя смарт-ссылки, которые в основном указывают на целевые страницы, контролируемые и созданные VexTrio. Это создает двойную монетизацию: аффилированные лица распространяют ссылки, в то время как VexTrio сохраняет контроль над целевым контентом и потоками мошенничества.

Векторы распространения включают в себя push-уведомления в браузере, спам по электронной почте и злоупотребление платформой (например, неправомерное использование товарного знака на социальных платформах) для привлечения партнерских рефералов. Актор использует инвестиционные нарративы “слишком хороши, чтобы быть правдой”, которые направляют трафик на мошенничество с криптовалютами, и использует агрессивную тактику продвижения и социальных сетей для увеличения конверсий. DNS и почтовая инфраструктура указывают на преднамеренное злоупотребление брендингом, связанным с почтой: были замечены домены-двойники, выдающие себя за SendGrid (sendgrid.rest) и Mailgun (mailgun.fun), и эти домены публикуют связанные с почтой записи DNS TXT (SPF), что указывает на попытки обойти аутентификацию электронной почты и увеличить доставку крупномасштабного спама. кампании.

VexTrio разработала и опубликовала вредоносные мобильные приложения (VPN, мониторинг устройств, блокировщики спама, приложения для знакомств) под несколькими псевдонимами разработчиков (включая HolaCode, LocoMind, Hugmi, Klover Group, AlphaScale Media). Эти приложения распространялись через официальные магазины приложений и собрали миллионы установок; высокие рейтинги скрывали вредоносное поведение, в то время как отзывы с низкой оценкой выявляли признаки мошенничества. Анализ инфраструктуры показал, что диапазоны IP-адресов и размещенные активы охватывают как мошеннические сервисы, так и, казалось бы, законные направления бизнеса (розничная торговля, гостиничный бизнес), что указывает на разветвленную коммерческую сеть и корпоративные уровни, связанные с крупномасштабными финансовыми транзакциями. Собранные домены и показатели были занесены в каталог для оперативного использования.

#ParsedReport #CompletenessLow
12-08-2025

Shedding Light on PoisonSeed s Phishing Kit

https://blog.nviso.eu/2025/08/12/shedding-light-on-poisonseeds-phishing-kit/

Report completeness: Low

Actors/Campaigns:
Poisonseed
0ktapus

Threats:
Cryptochameleon_tool
Spear-phishing_technique
Aitm_technique

Victims:
Crm providers, Bulk email providers, Email service users, Cryptocurrency users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1056.003, T1059.007, T1071.001, T1111, T1204.001, T1566.002, T1583.001, T1583.002, T1584.004, T1589.002, have more...

IOCs:
Domain: 51
File: 33

Soft:
SendGrid, Cloudflare Turnstile, Windows Hello, gatekeeper

Wallets:
coinbase

Algorithms:
zip

Functions:
setError, getItem, setTimeout, setCanVerify, setShouldRedirect, setIsChecked, setItem, setEncryptedEmail, setMessage, setIsLoading, have more...

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PoisonSeed использует набор для фишинга React, устойчивый к MFA, для сбора учетных записей CRM / массовых рассылок по электронной почте для массового спама и манипулирования исходными фразами. Ссылки для Целевого фишинга (многие через sendgrid.net ) приводят к многоэтапному потоку с поддельным Cloudflare Turnstile, который проверяет зашифрованное электронное письмо в URL /cookie, а затем действует как AitM для получения учетных данных, 2FA (TOTP/SMS/email /API) и аутентификационных файлов cookie. Инфра: Домены NICENIC, Cloudflare/Bunny.сетевые серверы имен; центры обнаружения: зашифрованные параметры электронной почты /файлы cookie и вызовы проверки API.
-----

PoisonSeed, активный актор фишинга, связанный с англоязычным сообществом “The Com” и слабо связанный с Scattered Spider и CryptoChameleon, использует набор для фишинга, устойчивый к MFA, предназначенный для сбора учетных данных CRM и поставщиков массовых рассылок электронной почты для экспорта списков контактов и масштабирования спама, связанного с криптовалютой, и атак на манипулирование исходными фразами. Первоначальный доступ осуществляется через целевые электронные письма с Целевым фишингом, которые выдают себя за поставщиков (Google, SendGrid, Mailchimp и т.д.) и предоставляют ссылки в маркетинговом стиле, перенаправляющие на домены, подвергающиеся фишингу. Наблюдается множество перенаправляющих доменов, происходящих из sendgrid.net .

Набор реализован в React и использует многоэтапный процесс: поддельный вызов Cloudflare Turnstile (TurnstileChallenge.jsx) выполняет проверку на стороне сервера зашифрованного электронного письма жертвы, добавленного к URL—адресу и сохраненного в зашифрованном файле cookie - метод, который NVISO описывает как “фишинг с точной проверкой”. App.jsx принудительно завершает этап прохождения Turnstile перед предоставлением маршрутов входа в систему и 2FA. Формы входа в систему захватывают учетные данные и действуют как Злоумышленник посередине (AitM), перенаправляя учетные данные и последующие попытки 2FA в легитимную службу, одновременно захватывая все материалы для аутентификации. Набор поддерживает несколько векторов 2FA (коды аутентификатора, SMS, коды электронной почты, API-ключи) с помощью TwoFactorEmail.jsx и ApiKeyVerification.jsx, обрабатывающих определенные потоки; успешные перехваты создают файлы cookie аутентификации, которые позволяют полностью завладеть учетной записью. После компрометации PoisonSeed автоматизирует массовую загрузку списков контактов и использует скомпрометированные учетные записи для дальнейшей рассылки спама и манипулирования исходными фразами.

Схемы инфраструктуры включают регистрацию доменов через NICENIC, хостинг на Cloudflare, DE-First Colo и SWISSNETWORK02, а также использование Cloudflare и Bunny.сетевые серверы имен. Основные функции обнаружения и поиска включают идентификацию зашифрованных параметров электронной почты в URL-адресах, файлы cookie, содержащие зашифрованные строки электронной почты/ Turnstile, вызовы API, которые проверяют зашифрованные электронные письма, заголовки страниц, содержащие “Подтверждение” или “Вход”, и записи NICENIC WHOIS. Защитные меры включают в себя принудительную аутентификацию, устойчивую к фишингу, мониторинг аномальной активности сеанса/файлов cookie, блокировку идентифицированной инфраструктуры и правила обнаружения, настроенные в соответствии с описанными шаблонами проверки URL/файлов cookie/API.

#technique

PLA: Prompt Learning Attack against Text-to-Image Generative Models

https://arxiv.org/html/2508.03696v1

#technique

Shade BIOS: Unleashing the Full Stealth of UEFI Malware

https://blackhat.com/us-25/briefings/schedule/#shade-bios-unleashing-the-full-stealth-of-uefi-malware-45786

http://i.blackhat.com/BH-USA-25/Presentations/USA-25-Matsuo-Shade-BIOS-Unleashing-the-Full-Stealth-of-UEFI-Malware-Wednesday-V2.pdf

#ParsedReport #CompletenessMedium
05-08-2025

Research of the Russian landscape of cyberurosis

https://bi.zone/upload/for_download/Threat_Zone_2025_BI.ZONE_Research_rus.pdf

Report completeness: Medium

Actors/Campaigns:
Cyber_partisans
Bo_team
Morlock (motivation: financially_motivated)
Oldgremlin (motivation: financially_motivated)
C0met (motivation: financially_motivated, cyber_espionage)
Enigma_wolf (motivation: financially_motivated)
Money_libra (motivation: financially_motivated)
Watch_wolf (motivation: financially_motivated)
has more...

Threats:
Tgrat
Remcom_tool
Shadow_copies_delete_technique
Credential_dumping_technique
Mimikatz_tool
Lazagne_tool
Sliver_c2_tool
Localtonet_tool
Anydesk_tool
has more...

Victims:
State organizations, Research organizations
has more...

Industry:
E-commerce, Education, Healthcare, Energy
has more...

Geo:
Spain, Nepal, India, Armenia, Cyprus
has more...

CVEs:
CVE-2018-19321 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- gigabyte aorus_graphics_engine (<1.57)
- gigabyte app_center (<19.0422.1)
- gigabyte oc_guru_ii (2.08)
- gigabyte xtreme_gaming_engine (<1.26)

CVE-2023-22518 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence_data_center (<7.19.16, <8.3.4, <8.4.4, <8.5.3, 8.6.0)

CVE-2021-4034 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- polkit_project polkit (<121)
has more...

ChatGPT TTPs:
do not use without manual check
T1003.001, T1005, T1027, T1046, T1059.001, T1070.001, T1070.004, T1070.006, T1071.001, T1071.004, have more...

IOCs:
Registry: 7
File: 92
Path: 27
Command: 27
Url: 14
Domain: 3

Soft:
Curl, telegram, Psexec, TightVNC, SoftPerfect Network Scanner, squid, Linux, Active Directory, Rsync, ESXI, have more...

Algorithms:
rsa-2048, aes, zip, base64, xor

Functions:
Get-Content, Write-Host

Win API:
showwindow

Win Services:
webclient

Languages:
visual_basic, javascript, php, java, python, rust, powershell, autoit

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ситуация с киберугрозами в России и СНГ характеризуется возросшей активностью таких субъектов, как Guerrilla Hyena, использующих социальную инженерию и пользовательские вредоносные программы, эксплуатирующие уязвимости (CVE-2018-19320, CVE-2019-16098). Методы включают фишинг, боковое перемещение с помощью удаленных инструментов и Timestomping для сокрытия вредоносных действий, в то время как такие группы, как Cobalt Werewolf, используют PowerShell для кибершпионажа.
-----

Guerrilla Hyena использует социальную инженерию в фишинговых кампаниях, нацеленных на темы закупок, при этом вредоносные файлы маскируются под законные документы. Их деятельность включает в себя пользовательское вредоносное ПО TGRAT BECDOR и средства защищенной коммуникации, такие как P-Telegram и P-SMS. Они используют утилиты командной строки, такие как Curl.exe чтобы загружать полезные файлы после получения доступа, необходимо проверить хосты на соответствие предопределенным целям, чтобы оставаться скрытыми.

Злоумышленники используют уязвимости, такие как CVE-2018-19320 и CVE-2019-16098, для взлома средств контроля безопасности и используют инструменты удаленного доступа, такие как TightVNC и Anydesk, для перемещения внутри компании. Cobalt Werewolf использует тактику кибершпионажа, нацеленную на государственные и исследовательские организации, инициируя атаки с помощью фишинга и используя CVE-2024-27198 и CVE-2024-23897. Сценарии PowerShell используются для скрытых задач после эксплуатации.

Новые кластеры, такие как Twelfth Hyena и Gambling Hyena, нацелены на правительственные секторы с помощью методологий сложных целенаправленных атак, направленных на кражу информации и сбои в работе. Они поддерживают операционную безопасность, очищая журналы и удаляя вредоносные файлы. Передовые методы, такие как Timestomping, скрывают несанкционированную активность, в то время как такие инструменты, как GS-Netcat, помогают устанавливать безопасные соединения.

Разведка проводится с использованием таких инструментов, как NMAP, для выявления уязвимостей. Повышение привилегий имеет решающее значение, поскольку злоумышленники ищут небезопасные учетные данные для аутентификации и извлекают данные с помощью сценариев администратора. Credential harvesting включает в себя атаки методом перебора с помощью CrackMapExec. Такие группы, как Hoody Hyena, проводят DDoS-атаки против государственных организаций, выполняя разрушительные действия, такие как очистка баз данных и удаление резервных копий.

Ландшафт угроз отражает сложные методологии, включающие Timestomping, разведку, повышение привилегий, сбор учетных данных и вредоносные операции.

#ParsedReport #CompletenessLow
14-08-2025

When Hackers Call: Social Engineering, Abusing Brave Support, and EncryptHubs Expanding Arsenal

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/when-hackers-call-social-engineering-abusing-brave-support-and-encrypthubs-expanding-arsenal/

Report completeness: Low

Actors/Campaigns:
Encrypthub (motivation: cyber_criminal)

Threats:
Eviltwin_technique
Fickle_stealer
Silentcrystal

CVEs:
CVE-2025-26633 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20947)
- microsoft windows_10_1607 (<10.0.14393.7876)
- microsoft windows_10_1809 (<10.0.17763.7009)
- microsoft windows_10_21h2 (<10.0.19044.5608)
- microsoft windows_10_22h2 (<10.0.19045.5608)
have more...

ChatGPT TTPs:
do not use without manual check
T1059.001, T1071.001, T1203, T1204.002, T1566.002, T1584.002, T1587.001, T1608.006, T1656

IOCs:
Command: 3
File: 6
Url: 2
IP: 1

Soft:
Steam, Microsoft Teams, Telegram

Algorithms:
zip, aes

Win Services:
WebClient

Languages:
swift, powershell, golang

#ParsedReport #ExtractedSchema

Classified images:
code: 8, schema: 1, table: 2, windows: 1