#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DragonForce - это сложная программа-вымогатель, которая началась в декабре 2023 года с использованием темного веб-портала "DragonLeaks". Он использует передовые тактические приемы, согласованные с платформой MITRE ATT&CK, используя различные методы первоначального доступа, включая социальную инженерию, фишинг и использование уязвимостей программного обеспечения для взлома корпоративных сетей. Способность группы быстро адаптироваться к контрмерам безопасности и постоянно совершенствовать свое вредоносное ПО отражает решительные усилия по повышению эффективности своих атак с использованием программ-вымогателей.
-----

DragonForce - это продвинутая программа-вымогатель, появившаяся в декабре 2023 года и характеризующаяся своим значительным присутствием на рынке киберугроз. В основе его деятельности лежит темный веб-портал "DragonLeaks", который способствовал его деятельности с момента своего создания. Группа демонстрирует тонкое понимание организационных уязвимостей и использует различные изощренные векторы атак для первоначального доступа к целевым сетям.

С точки зрения тактики, методов и процедур (TTP) DragonForce соответствует платформе MITRE ATT&CK, отражающей всестороннее понимание методов компрометации корпоративных сетей. Оперативные стратегии группы свидетельствуют о хорошо скоординированном подходе к внедрению программ-вымогателей, включающем детальную разведку и использование пробелов в безопасности в целевых средах.

Конкретные методы первоначального доступа, используемые DragonForce, не были подробно описаны, но известно, что они используют ряд уязвимостей в цифровой инфраструктуре предприятия. Это включает в себя использование тактики социальной инженерии, схем фишинга и использование известных уязвимостей программного обеспечения, чтобы закрепиться в сети цели.

Кроме того, быстрая адаптация DragonForce's к новым мерам безопасности подчеркивает ее способность развивать и совершенствовать свою тактику в ответ на контрмеры сообщества кибербезопасности. Непрерывная разработка их вредоносного ПО и связанных с ним инструментов означает постоянное стремление максимально увеличить воздействие их атак с использованием программ-вымогателей.

Растущая распространенность таких изощренных групп программ-вымогателей подчеркивает необходимость принятия надежных защитных мер и упреждающих методов кибергигиены для предотвращения потенциальных нарушений и минимизации рисков, связанных с атаками программ-вымогателей в сетях организаций.

#ParsedReport #CompletenessLow
21-08-2025

ESC2. I sign what I want

https://bi.zone/expertise/active-directory-certificate-services/esc2-podpisyvayu-chto-khochu/

Report completeness: Low

Threats:
Esc2_vuln
Certipy_tool
Rubeus_tool
Mimikatz_tool
Cobalt_strike_tool
Empire_loader
Mitm_technique

Victims:
Active directory environments

ChatGPT TTPs:
do not use without manual check
T1552.004, T1558.003

IOCs:
File: 3
Registry: 1

Soft:
Active Directory, Adfs

Functions:
Get-ChildItem, Get-ADObject

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Технология ESC2 представляет серьезную угрозу безопасности служб сертификации Active Directory (AD CS), поскольку позволяет неавторизованным пользователям создавать универсальные сертификаты, подрывая безопасность домена. Неправильные настройки в AD CS позволяют обычным пользователям выдавать сертификаты, способствуя повышению привилегий, Имперсонации пользователей и несанкционированным подключениям. Эта уязвимость вызывает особое беспокойство, поскольку ею могут воспользоваться злоумышленники с низкой квалификацией из-за снижения барьеров для доступа.
-----

Технология ESC2 представляет значительную угрозу безопасности служб сертификации Active Directory (AD CS). Этот метод позволяет неавторизованным пользователям создавать универсальные сертификаты, что потенциально подрывает целостность системы безопасности домена. Имея возможность выдавать эти сертификаты, злоумышленник может повысить свои привилегии и получить дополнительный доступ к сети.

Эта уязвимость возникает из-за неправильной настройки в AD CS, где выделяются определенные разрешения, которые в идеале должны быть ограничены более доверенными пользователями или администраторами. Используя эти неправильные настройки, обычный пользователь может подписывать сертификаты, которые в противном случае не входили бы в его компетенцию. Неправильное использование этих сертификатов может привести к целому ряду вредоносных действий, включая Имперсонацию законных пользователей и потенциальное установление доверенных соединений с другими системами в домене.

Опасность технологии ESC2 заключается в ее способности привлекать злоумышленников с низкой квалификацией, поскольку значительно снижаются препятствия для использования этой конфигурации. Таким образом, устранение этой угрозы требует строгого надзора и соблюдения лучших практик в управлении AD CS. Организации должны обеспечить правильную блокировку шаблонов сертификатов и разрешений, чтобы предотвратить получение таких возможностей неавторизованными пользователями. Регулярные аудиты и проверки политик доступа также необходимы для выявления и устранения потенциальных уязвимостей, прежде чем они смогут быть использованы.

#ParsedReport #CompletenessHigh
19-08-2025

Phantom Pains: A Massive Cyber Espionage Campaign and Possible Split of the PhantomCore APT Group

https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/phantom-pains-a-large-scale-cyber-espionage-campaign-and-a-possible-split-of-the-apt-group-phantomcore/

Report completeness: High

Actors/Campaigns:
Phantomcore

Threats:
Phantomcore
Phantomtaskshell
Meshagent_tool
Fakecaptcha_technique
Xenarmor_tool
Phantom_stealer
Phantomgoshell
Phantom_control_panel_tool
Meshcentral_tool
Phantomrat
Phantomrshall
Rclone_tool
Polyglot_technique
Anydesk_tool

Victims:
Critical infrastructure

Industry:
Healthcare, Software_development, Chemical, Financial, Critical_infrastructure

Geo:
Netherlands, Russia, Russian, Hong kong, Poland, Canadian, Germany, Finland, Moldova, France, Usa, Moscow

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1059.003, T1071.001, T1090, T1105, T1105, T1112, T1219, T1566.001, have more...

IOCs:
IP: 24
Path: 33
Command: 17
Domain: 1
File: 29
Hash: 17
Registry: 1

Soft:
RSOCX, UBUNTU, Yandex Browser, Google Chrome, Discord, Google Chrome, Discord, OpenSSH, chrome, Active Directory, Windows Defender, have more...

Algorithms:
base64, cbc, aes-256, sha256, zip

Win API:
ISDebuggerPreSent, COCREATEGUID, Getcomputernamew

Languages:
golang, python, powershell

Platforms:
x86

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа PhantomCore, занимающаяся сложными целенаправленными атаками, действующая с начала 2024 года, нацелена на критически важную инфраструктуру России, используя самостоятельно разработанные инструменты для кибершпионажа. Их тактика включает в себя развертывание троянов RAT, замаскированных под ZIP-файлы, по электронной почте, использование сложной сегментации сети и использование сред VPS для непредсказуемой загрузки вредоносного ПО. Ключевые инструменты включают в себя бэкдор на базе Go Phantomrat и новые варианты, такие как Phantomgoshell, который позволяет выполнять команды через командную строку Windows, сохраняя при этом закрепление в скомпрометированных сетях.
-----

Группа PhantomCore, занимающаяся сложными целенаправленными атаками, впервые выявленная в начале 2024 года, активно занималась кибершпионажем, нацеленным на критически важную инфраструктуру России. Со временем группа развила свои наступательные возможности, интегрируя самостоятельно разработанные инструменты для проведения многочисленных атак.

В начале мая 2025 года группа внедрила троянские программы RAT, замаскированные под ZIP-архивы под названием "Documents_for_consideration" и доставленные по электронной почте. Методы, используемые PhantomCore, включают сложную сегментацию сетевой инфраструктуры, которая функционально организует их инструменты кибершпионажа. Известная тактика включает в себя использование VPS под управлением Ubuntu, оснащенного расширенными SSH-сервисами, с портами HTTP и HTTPS, которые переключаются между открытым и закрытым состояниями, чтобы облегчить загрузку вредоносного ПО в стратегически важные моменты.

Среди инструментов, используемых группой, - бэкдор на базе Go под названием Phantomrat, используемый для получения первоначального доступа и развертывания дальнейших вредоносных программ, таких как Phantomtaskshell, Phantomproxylite и Meshagent. Известно также, что группа использует RCLONE, утилиту с открытым исходным кодом для синхронизации данных, в целях эксфильтрации. Способы доставки включают использование polyglot files и Адреса эл. почты законных российских компаний.

Пик активности PhantomCore's пришелся на июнь 2025 года, когда сообщалось о 181 зараженном хосте; средняя продолжительность компрометации многих из них составляла 24 дня, а самая продолжительная - 78 дней. В настоящее время под контролем группы остаются 49 хостингов. Недавнее появление нового бэкдора под названием Phantomgoshell предполагает потенциальный раскол внутри группы, имеющий сходство с более ранними версиями, такими как Phantomrshell и Phantomrat. Этот новый бэкдор выполняет команды через командную строку Windows и реализовал методы для Изменения реестра и запуска инструментов удаленного рабочего стола, таких как Openor's Remote Desktop Connection и Anydesk.

Несмотря на совпадающие характеристики с предыдущими инструментами, показатели указывают на то, что в разработке и использовании этих вариантов вредоносного ПО могут быть задействованы различные хакерские группировки. В целом, деятельность PhantomCore's подчеркивает крайне скрытный и методичный подход к кибершпионажу, направленный на поддержание закрепления в скомпрометированных сетях при одновременном развитии их инструментария, позволяющего избежать обнаружения.

#ParsedReport #CompletenessHigh
21-08-2025

Think before you Click(Fix): Analyzing the ClickFix social engineering technique

https://www.microsoft.com/en-us/security/blog/2025/08/21/think-before-you-clickfix-analyzing-the-clickfix-social-engineering-technique/

Report completeness: High

Actors/Campaigns:
Storm-1607
Storm-0426
Storm-0249
Obscure_bat

Threats:
Clickfix_technique
Lumma_stealer
Xworm_rat
Asyncrat
Netsupportmanager_rat
Sectop_rat
Latrodectus
Mintsloader
Lolbin_technique
Lampion
Darkgate
Screenconnect_tool
R77rk_tool
Amos_stealer
Fakecaptcha_technique
Poseidon
Odyssey_stealer
Uac_bypass_technique
Polymorphism_technique
Clickflix_technique
Bitsadmin_tool

Victims:
Government, Finance, Transportation, Education, Financial services, Macos users, Windows users

Industry:
Government, Transport, Financial, Education

Geo:
Mexico, Italian, Germany, Canada, Switzerland, France, Luxembourg, Brazilian, Portugal, Spanish, Hungary, French, German, Portuguese

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1056.001, T1059, T1059.001, T1071, T1105, T1140, T1189, T1190, have more...

IOCs:
File: 15
Domain: 7
Url: 5
IP: 7

Soft:
Microsoft Defender, Microsoft Defender for Endpoint, macOS, Windows Terminal, Windows PowerShell, Microsoft Word, WordPress, Cloudflare Turnstile, Discord, Telegram, have more...

Algorithms:
base64, zip

Functions:
runVerification

Win API:
CreateProcess

Languages:
powershell, jscript, javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 11, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Метод социальной инженерии ClickFix все чаще нацелен на корпоративные устройства и устройства конечных пользователей, используя взаимодействие с пользователем для доставки вредоносных программ, таких как Lumma Stealer, который поражает системы Windows и macOS. Векторы атак включают фишинг электронных писем, скомпрометированные веб-сайты и Вредоносную рекламу, при этом такие известные кампании, как Lampion, нацелены на государственный и финансовый секторы. Передовые методы, такие как запутанные команды и имитация законных служб, помогают обойти меры безопасности, в то время как доступность наборов ClickFix на хакерских форумах свидетельствует о растущем спектре угроз.
-----

Технология социальной инженерии ClickFix нацелена на устройства предприятий и конечных пользователей по всему миру, позволяя доставлять различные вредоносные программы. Вредоносное ПО Lumma Stealer поражает как системы Windows, так и macOS, что приводит к эксфильтрации данных и краже информации. Атаки ClickFix начинаются с фишинга электронных писем, Вредоносной рекламы или скомпрометированных веб-сайтов, которые обманом заставляют пользователей выполнять вредоносные команды. Этот метод основан на взаимодействии с пользователем, что позволяет ему обходить обычные меры безопасности.

Кампании по борьбе с вредоносным ПО Lampion были нацелены на правительственный и финансовый секторы с использованием ClickFix. Злоумышленники используют электронные письма с фишингом, вредоносную рекламу и скомпрометированные веб-сайты, чтобы заманить пользователей. Группа Storm-1607 использовала HTML-вложения для развертывания загрузчика DarkGate, который выполняет Регистрацию нажатий клавиш и другие вредоносные действия. Вредоносная реклама вводила в заблуждение пользователей, ищущих бесплатный контент, в то время как скомпрометированные веб-сайты использовались, как это было видно на примере актора Storm-0249, который перешел от атак по электронной почте к использованию уязвимостей сайта.

Целевые страницы ClickFix выдают себя за законные службы для снижения защиты пользователей и быстрого выполнения команд в диалоговом окне "Запуск Windows". Ресурсы JavaScript и CSS используются для повышения легитимности. Попав на эти страницы, пользователям предлагается взаимодействовать, используя их недостаточное знакомство с компонентами операционной системы. Продвинутые методы запутывания, такие как вложенные цепочки выполнения и закодированные команды, помогают избежать обнаружения.

Технология ClickFix была адаптирована для пользователей macOS с использованием вредоносного ПО, такого как Atomic macOS Stealer. Злоумышленники продают наборы ClickFix на хакерских форумах, облегчая другим выполнение подобных атак. Даже при использовании существующих решений для обнаружения конечных точек и реагирования на них атаки с ClickFix были успешными. Корпорация Майкрософт заблокировала вредоносные домены, связанные с этими атаками, а Microsoft Defender XDR обеспечивает защиту от различных векторов атак, связанных с кампаниями ClickFix.

#ParsedReport #CompletenessMedium
21-08-2025

The Ghost in the Machine: The Complete Dossier on TA-NATALSTATUS and the Cryptojacking Turf War

https://www.cloudsek.com/blog/the-ghost-in-the-machine-the-complete-dossier-on-ta-natalstatus-and-the-cryptojacking-turf-war

Report completeness: Medium

Actors/Campaigns:
Ta-natalstatus (motivation: sabotage)
Teamtnt

Threats:
Cloaking_technique
Empire_loader
Timestomp_technique
Masscan_tool
Pnscan_tool
Kinsing_miner
Xmrig_miner
Minerd

Geo:
Indonesia, Korea, Hong kong, China, Germany, Singapore, Brazil, India, United kingdom, Netherlands, Finland, Japan, France, Australia, Canada, Russia, Ireland, Vietnam

IOCs:
File: 1
Coin: 1
IP: 19
Hash: 5

Soft:
Redis, curl, Linux, crontab, SELinux

Languages:
java

Platforms:
arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TA-NATALSTATUS - это хакерская группировка, занимающаяся криптоджекингом, преимущественно нацеленная на незащищенные серверы Redis путем использования неправильных конфигураций и небезопасных настроек. Они получают root-доступ для установки криптоминеров, используя такие методы, как masscan, для выявления уязвимых серверов, отключения функций безопасности и создания заданий cron для закрепления. Их структурированный подход включает методы распространения в скомпрометированных системах и агрессивную тактику против конкурирующих майнеров, что затрудняет уничтожение их вредоносного ПО.
-----

TA-NATALSTATUS - это хакерская группировка, которая активно проводит кампании по криптоджекингу с 2020 года, со значительной эскалацией, отмеченной в 2025 году. Их операции в первую очередь нацелены на незащищенные серверы Redis во многих регионах, включая США, Европу, Россию и Индию, используя уязвимости, возникающие в результате неправильной настройки разработчиком и небезопасных настроек по умолчанию. TA-NATALSTATUS извлекает выгоду из этих уязвимостей, получая root-доступ, позволяющий им не только устанавливать криптоминеры, но и укреплять свою защиту от обнаружения и уничтожать конкурирующие угрозы.

Подход группы отказывается от традиционных эксплойтов в пользу использования неправильных настроек на серверах Redis, которые часто запускаются от имени пользователей root. Используя законные команды Redis, такие как CONFIG SET и SAVE, TA-NATALSTATUS может создавать задания cron, которые поддерживают закрепление на скомпрометированном сервере. Группа действует в рамках структурированного четырехэтапного жизненного цикла, созданного для скрытности и доминирования над зараженными системами.

На этапе первоначального доступа актор использует такие инструменты, как masscan, для идентификации общедоступных серверов Redis на порту 6379. Получив доступ, они развертывают скрипты для отключения основных функций безопасности, таких как SELinux, и манипулируют правилами брандмауэра, тем самым препятствуя будущим подключениям, которые могут их разоблачить. Они также используют уникальную технику "ps hijack", переименовывая законные двоичные файлы, чтобы скрыть свои действия от администраторов.

Как только хост был скомпрометирован, второй этап включает в себя наращивание усилий по заражению путем подготовки компьютера к распространению, включая загрузку и компиляцию средств сканирования непосредственно на компьютере жертвы. Эта стратегия позволяет группе максимально расширить свой охват, превращая каждую скомпрометированную машину в часть более крупного ботнет, которому поручено сканировать дополнительные уязвимые цели.

Заключительные этапы их атаки включают обеспечение закрепления с помощью механизма обновления, который переустанавливает пакет вредоносного ПО по мере необходимости, и применение атрибутов системного уровня к основным файлам для предотвращения изменений даже привилегированными пользователями. Это чрезвычайно затрудняет их удаление, требуя тщательной проверки на наличие вредоносных заданий cron и демонтажа всех механизмов их закрепления для полного уничтожения вредоносного ПО.

В своей деятельности TA-NATALSTATUS придерживается агрессивной позиции по отношению к конкурирующим группам криптоджекеров, применяя подход "списка уничтожения" для устранения конкурирующих майнеров из скомпрометированных систем, гарантируя, что ресурсы будут выделены исключительно для их операций. В целом, методы, используемые TA-NATALSTATUS, свидетельствуют о значительном продвижении к организованному, изощренному киберпреступному поведению, основанному на криптоджекинге.

#ParsedReport #CompletenessMedium
22-08-2025

Examining the tactics of BQTLOCK Ransomware & its variants

https://labs.k7computing.com/index.php/examining-the-tactics-of-bqtlock-ransomware-its-variants/

Report completeness: Medium

Threats:
Bqtlock
Process_hollowing_technique
Uac_bypass_technique
Credential_stealing_technique

Geo:
Saudi, Lebanon

ChatGPT TTPs:
do not use without manual check
T1027, T1497, T1548.002, T1583.006, T1587.001, T1588.002

IOCs:
File: 11
Path: 2
Registry: 1
Hash: 2
Url: 6
Coin: 1
Email: 1

Soft:
Telegram, Twitter, Discord, Windows Explorer, OpenSSL, Google Chrome, Mozilla Firefox, Microsoft Edge, Opera, Firefox

Crypto:
monero

Algorithms:
base64, zip, aes, rsa-4096, aes-256

Functions:
OutputDebugString

Win API:
IsDebuggerPresent, OpenProcessToken, AdjustTokenPrivileges, SeDebugPrivilege, NetUserAdd, NetLocalGroupAddMembers, BitBlt, CreateToolhelp32Snapshot, Process32First, Process32Next, have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель BQTLOCK, работающая по модели Ransomware-as-a-Service (RaaS), предоставляет инструменты для аффилированных лиц с ограниченными техническими навыками, включая генерацию полезной нагрузки и автоматизированный сбор платежей. Последний вариант повышает его устойчивость благодаря расширенным проверкам антианализа, обходу контроля учетных записей пользователей и улучшенной защите от запутывания кода. Недавние действия свидетельствуют о продолжающемся развитии, несмотря на заявления о приостановленном цикле обновления, включая маркетинг нового инструмента для поиска украденных данных и инициативу по временному бесплатному доступу после сбоев в их каналах связи.
-----

Программа-вымогатель BQTLOCK является примером модели "Программа-вымогатель как услуга" (RaaS), распространенной в сфере киберпреступности. Такой подход позволяет разработчикам продавать свои вредоносные инструменты и инфраструктуру аффилированным лицам, которым может не хватать технических знаний, и которые могут подписаться на эти сервисы. Эти предложения RaaS облегчают такие действия, как генерация полезной нагрузки, общение с жертвами, механизмы шифрования и автоматизированный сбор платежей в криптовалюте, снижая барьер для проникновения потенциальных злоумышленников.

Недавний анализ обновленного образца BQTLOCK, проведенный 5 августа 2025 года, выявил улучшения в дизайне вредоносного ПО. Обновленный вариант включает дополнительные проверки антианализа, методы обхода контроля учетных записей пользователей (UAC) и более сложные методы запутывания кода. Эти улучшения указывают на значительное усложнение программы-вымогателя, что усложняет анализ для специалистов по кибербезопасности.

Несмотря на то, что разработчик ZeroDayX позиционирует программу-вымогателя как полностью необнаруживаемую (FUD), заявления о BQTLOCK сопровождаются скептицизмом. Распространенный образец был идентифицирован как поврежденный ISO-файл, что сделало его нефункциональным. Кроме того, данные свидетельствуют о том, что отправленный файл был получен из Ливана, что, вероятно, указывает на причастность разработчика или близких аффилированных лиц к его распространению. Это вызывает опасения по поводу обоснованности заявлений FUD и наводит на мысль о возможном преувеличении в рекламных усилиях.

Кроме того, текущая рекламная активность, связанная с BQTLOCK, указывает на продолжающуюся разработку, и разработчики RaaS объявили о выпуске версии 4. Однако они также сообщили о прекращении будущих обновлений, что создает неопределенность в отношении реальных намерений, стоящих за этим объявлением. В течение короткого периода времени они выпустили четыре обновления, но затем внезапно прекратили работу, что вызвало предположения о том, является ли это фактическим прекращением, стратегическим ребрендингом или тактикой стимулирования интереса потенциальных покупателей. Примечательно, что их Telegram-канал был заблокирован, и в качестве ответной меры они предложили бесплатную услугу в течение трех дней через новый канал. Кроме того, они запустили инструмент под названием BAQIYAT.osint, предназначенный для поиска украденной информации по ключевым словам, по цене подписки, что еще раз указывает на расширение бизнес-модели в рамках их деятельности.

#technique

SpeechRuntimeMove
Lateral Movement as loggedon User via Speech Named Pipe COM & ISpeechNamedPipe + COM Hijacking

https://github.com/rtecCyberSec/SpeechRuntimeMove

#technique

GroupPolicyBackdoor

GroupPolicyBackdoor is a python utility for Group Policy Objects (GPOs) manipulation and exploitation. GPO attack vectors can very often lead to impactful privilege escalation scenarios in Active Directory environments. And yet, offensive security professionals may be reluctant to leverage them, partly due to the perceived risks associated with GPO manipulation.

GroupPolicyBackdoor aims at providing a modular, stable and stealthy exploitation framework for GPO attack vectors, all in python. The tool was presented at DEFCON 33.

https://github.com/synacktiv/GroupPolicyBackdoor

#ParsedReport #CompletenessHigh
22-08-2025

SpyNote Malware Part 2

https://dti.domaintools.com/spynote-malware-part-2/

Report completeness: High

Threats:
Spynote_rat

Victims:
Android users, Consumers

Industry:
Telco, Entertainment, Financial

Geo:
Chinese

TTPs:
Tactics: 1
Technics: 30

IOCs:
IP: 2
File: 3
Hash: 4
Domain: 33
Url: 26

Soft:
Android, Google Play, nginx, Chrome, Zoom

Algorithms:
gzip, exhibit, aes

Functions:
JavaScript, download

Languages:
javascript