#ParsedReport #CompletenessHigh
03-10-2025

YUREI RANSOMWARE : THE DIGITAL GHOST

https://www.cyfirma.com/research/yurei-ransomware-the-digital-ghost/

Report completeness: High

Threats:
Yurei
Prince_ransomware
Shadow_copies_delete_technique
Psexec_tool
Satanlock
Vssadmin_tool
Timestomp_technique
Credential_dumping_technique

Victims:
Food manufacturing, Sri lanka

Industry:
Foodtech

Geo:
Japanese, Germany, Japan, Sri lanka, Morocco, Turkey

TTPs:
Tactics: 8
Technics: 39

IOCs:
File: 7
Command: 1
Path: 1
Hash: 2
Url: 2

Soft:
PsExec, Windows Service, Outlook

Algorithms:
aes, chacha20, sha256

Functions:
setWallpaper, getAllDrives, disableBackups, Get-ChildItem, Remove-Item, InitPrinceKeys

Win API:
WriteFile

Languages:
php, powershell

Platforms:
x86

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
code: 15, schema: 1, dump: 2, windows: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Yurei Ransomware - это сложное вредоносное ПО, нацеленное на среды Windows, использующее программирование Go для быстрого шифрования файлов с помощью отдельных ключей ChaCha20, добавляя при этом ".Расширение "Yurei". В нем используются методы удаления Shadow Copies томов и системных журналов, препятствующие усилиям по восстановлению и судебно-медицинским расследованиям. Программа-вымогатель распространяется через общие ресурсы USB и SMB, использует перемещение внутри компании на основе учетных данных и включает механизм самоуничтожения для устранения следов после выполнения, что указывает на продвинутый уровень угрозы.
-----

Yurei Ransomware представляет собой сложную и агрессивную угрозу в среде вредоносного программного обеспечения, использующую передовые тактики и методы для эффективного компрометирования систем. Разработанный с использованием языка программирования Go, Yurei ориентирован на среду Windows и обладает возможностями быстрого шифрования. Он шифрует файлы на локальных и сетевых дисках, используя для каждого файла ключи ChaCha20, добавляя уникальный ".Расширение "Yurei" для затронутых файлов, а также использует механизм удаления Shadow Copies томов и системных резервных копий, тем самым отключая параметры восстановления.

Программа-вымогатель использует передовые средства защиты от криминалистики, включая удаление журналов событий Windows и системных журналов, чтобы препятствовать судебно-медицинским расследованиям. Он использует команды PowerShell для незаметного выполнения этих удалений, что свидетельствует о явном намерении помешать усилиям по восстановлению. Полезная нагрузка вредоносного ПО включает в себя компоненты для перемещения внутри компании по сетям на основе учетных данных, использующие такие методы, как PSCredential и PsExec для удаленного выполнения команд. Кроме того, он распространяется через USB-накопители и доступные для записи общие ресурсы SMB, создавая эффект быстрого распространения.

После выполнения Yurei не только шифрует файлы, но и изменяет обои рабочего стола жертвы, чтобы создать видимый сбой. Это создает записку с требованием выкупа, _README_Yurei.txt , внутри каждого зашифрованного каталога, предупреждая жертв о компрометации и предлагая инструкции по оплате, но также угрожая потенциальной утечкой данных в качестве принудительной меры, что отражает его двойные возможности вымогательства.

Дизайн Yurei Ransomware включает в себя сложную функцию самоуничтожения, которая удаляется после выполнения, чтобы устранить следы, которые могли бы позволить судебно-медицинское восстановление. Метод шифрования сочетает в себе ChaCha20 и ECIES для управления ключами, что затрудняет жертвам восстановление своих данных без вмешательства злоумышленника. Кроме того, имеются признаки повторного использования кода из проекта Prince ransomware, что указывает на связь между различными семействами программ-вымогателей и повторное использование методов и методологий оптимизации.

Таким образом, Yurei Ransomware - это продвинутая программа-вымогатель с двойным вымогательством, обладающая широкими возможностями шифрования данных, уклонения от обнаружения и препятствующая попыткам восстановления, что усиливает ее воздействие на потенциальных жертв. Он демонстрирует сочетание технической сложности и операционной эффективности, что создает значительные проблемы для реагирования на инциденты и восстановления в пострадавших организациях. Связь с ранее наблюдавшимися разработками программ-вымогателей подчеркивает постоянный и эволюционирующий ландшафт угроз.

#ParsedReport #CompletenessMedium
02-10-2025

New spyware campaigns target privacy-conscious Android users in the UAE

https://www.welivesecurity.com/en/eset-research/new-spyware-campaigns-target-privacy-conscious-android-users-uae/

Report completeness: Medium

Threats:
Prospy
Tospy

Victims:
Android users, Privacy conscious users

Geo:
Netherlands, Arab emirates, Ukraine, United arab emirates

TTPs:
Tactics: 7
Technics: 12

IOCs:
Url: 6
File: 6
Domain: 12
IP: 12
Hash: 12

Soft:
Android, Google Play

Algorithms:
cbc, zip, sha1, aes

Languages:
javascript

Platforms:
apple

Links:
https://github.com/eset/malware-ioc/tree/master/prospytospy

#ParsedReport #ExtractedSchema

Classified images:
windows: 4, schema: 2, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследование ESET выявило две шпионские кампании, ProSpy и ToSpy, нацеленные на пользователей Android в ОАЭ. ProSpy маскируется под плагин для шифрования сигналов и приложение ToTok, используя для распространения фишинг-сайты и запрашивая обширные разрешения, перенаправляя пользователей на легальные страницы приложений, чтобы скрыть свое присутствие. В обеих кампаниях используются такие методы, как фишинг для первоначального доступа, выполнение запланированных задач и фоновые службы для закрепления, сбор конфиденциальных данных с помощью эксфильтрации HTTPS с шифрованием AES.
-----

Недавнее исследование, проведенное ESET, выявило появление двух кампаний шпионского ПО, нацеленных на пользователей Android, заботящихся о конфиденциальности, в Объединенных Арабских Эмиратах: ProSpy и ToSpy. Кампания ProSpy была объявлена в июне 2025 года, и есть признаки того, что она могла начаться уже в 2024 году. В рамках этой кампании вредоносное ПО маскируется под несуществующее приложение-плагин для шифрования сигналов и приложение для обмена сообщениями ToTok, используя для распространения фишинг-сайты, такие как signal.ct.ws и encryption-plug-in-signal.com-ae.net . Жертв заманивают разрешить ручную установку вредоносных APK-файлов, которые запрашивают обширные разрешения для доступа к контактам, SMS-сообщениям и файлам.

Вредоносное ПО ProSpy демонстрирует уникальный процесс выполнения; после запуска оно перенаправляет пользователей на официальную страницу загрузки ToTok, тем самым повышая видимость легитимности. Любые будущие запуски вредоносного приложения приводят пользователей непосредственно к законному приложению ToTok, эффективно скрывая его присутствие при сохранении двух значков приложений на устройстве — это потенциально может вызвать подозрения. Аналогичным образом, вариант плагина для шифрования сигналов шпионского ПО обманывает пользователей, открывая страницу с информацией о приложении для сервисов Google Play, что еще больше маскирует его злонамеренные намерения.

Впоследствии телеметрические системы ESET выявили кампанию ToSpy, признанную отдельным семейством программ-шпионов для Android, также нацеленную на пользователей в ОАЭ. Это вредоносное ПО распространялось через веб-сайты, призванные выдавать себя за законные платформы приложений, в том числе одну, имитирующую Galaxy Store, что увеличивало вероятность обмана пользователей.

В обеих кампаниях используются различные методы закрепления и фоновой работы. Они используют AlarmManager для поддержания непрерывности обслуживания и получения широковещательных намерений BOOT_COMPLETED для запуска при запуске устройства. Шпионское ПО собирает широкий спектр данных, включая контакты и SMS-сообщения, и использует шифрование AES для безопасной эксфильтрации этих данных по каналам HTTPS.

С точки зрения конкретной тактики, согласованной с методами MITRE ATT&CK, первоначальный доступ достигается с помощью фишинга, выполнение облегчается с помощью запланированных задач, а закрепление поддерживается с помощью фоновых служб и трансляций при запуске. Они значительно расширяют свои возможности по сбору данных, используя Изучение файлов и каталогов, а также детальное Изучение системы.

#ParsedReport #CompletenessHigh
04-10-2025

RomCom Threat Actor Evolution (20232025)

https://www.picussecurity.com/resource/blog/romcom-threat-actor-evolution

Report completeness: High

Actors/Campaigns:
Void_rabisu (motivation: cyber_espionage)
Deceptive_prospect
Unk_greensec

Threats:
Romcom_rat
Snipbot
Rustyclaw
Mythic_c2
Spear-phishing_technique
Slipscreen
Com_hijacking_technique
Dustyhammock
Shadyhammock
Meltingclaw
Dll_hijacking_technique
Transferloader
Cuba_ransomware
Dllsearchorder_hijacking_technique
Smbexec_tool
Wmiexec_tool

Victims:
Government entities, Enterprises

Industry:
Critical_infrastructure, Government, Retail, Aerospace, Entertainment, Logistic

Geo:
America, Canada, Ukraine, Russia, Russian, Ukrainian, Poland

CVEs:
CVE-2023-36884 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-8088 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-49039 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-9680 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 9
Technics: 14

IOCs:
Domain: 2
Url: 1
Email: 1
Registry: 1
File: 3
Hash: 1

Soft:
ChatGPT, Microsoft Word, Firefox, Microsoft OneDrive, Windows Registry

Algorithms:
sha256, xor

Win API:
RegOpenKeyExA

Languages:
swift, rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленник RomCom, также известный как Storm-0978, превратился в сложную структуру, использующую значительные уязвимости, в частности WinRAR zero-day CVE-2025-8088, для развертывания различных бэкдоров вредоносного ПО, таких как SnipBot, RustyClaw и Mythic Agent. . Их тактика включает социальную инженерию для первоначального доступа и использование многоступенчатых загрузчиков и скрытных крыс, таких как SnipBot, для постоянного контроля. Расширение масштабов глобальных операций и сотрудничество с другими хакерскими группировками расширяет их возможности, что делает RomCom заметной киберугрозой к 2025 году.
-----

Злоумышленник RomCom, также известный как Storm-0978, Tropical Scorpius и Void Rabisu, превратился из региональной группы кибершпионажа в сложную гибридную организацию, которая, как ожидается, станет все более опасной к 2025 году. Эта эволюция предполагает использование значительных уязвимостей, в частности уязвимости WinRAR zero-day CVE-2025-8088, которая классифицируется как ошибка обхода пути с оценкой CVSS 8,4. Эта уязвимость позволила внедрить различные бэкдоры вредоносного ПО, включая SnipBot, RustyClaw и Mythic Agent.

Методология атак RomCom охватывает широкий спектр тактик, техник и процедур (TTP), демонстрирующих их способность действовать на протяжении всей цепочки атак. Первоначальный доступ в основном достигается с помощью тактики социальной инженерии и Имперсонации, демонстрируя предпочтение более инновационным и ориентированным на человека подходам к проникновению в системы. Примечательной характеристикой RomCom является их частое использование неопубликованных уязвимостей, поведение, которое соответствует APT группировка.

Как только они получают доступ, RomCom внедряет стратегически разработанные многоступенчатые загрузчики наряду со сложными методами обхода, чтобы поддерживать закрепление в скомпрометированных системах. Бэкдоры DustyHammock и ShadyHammock занимают центральное место в этой стратегии, функционируя не просто как отдельные имплантаты, а как ключевые компоненты более масштабной шпионской операции. В их арсенале есть бэкдор SnipBot, также известный как RomCom 5.0 или SingleCamper, который действует как троян удаленного доступа с высокой степенью скрытности (RAT), предназначенный для долгосрочного контроля и долговечности работы. Его функции безопасности включают в себя усовершенствованные методы обфускации кода, в частности новый алгоритм обфускации потока управления на основе оконных сообщений.

К 2024 году RomCom внедрила гибридную модель атаки, проводя двойные операции: длительный шпионаж против правительственных секторов и нацеленные на монетизацию нарушения, нацеленные на предприятия. Их географический охват вышел за пределы их прежних региональных границ, распространившись на Северную Америку, Европу и другие регионы, что еще больше укрепило их статус глобального злоумышленника.

Сотрудничество между хакерскими группировками расширяет возможности RomCom, указывая на взаимосвязанный ландшафт киберугроз. По мере развития стратегий киберзащиты такие организации, как Picus, помогают, имитируя TTP RomCom с использованием постоянно обновляемой библиотеки угроз, помогая организациям выявлять уязвимости в своих инфраструктурах безопасности до того, как ими смогут воспользоваться злоумышленники.

#ParsedReport #CompletenessLow
30-09-2025

CABINETRAT Backdoor used by UAC-0245 for targeted cyberattacks against IAs (CERT-UA#17479)

https://cert.gov.ua/article/6285549

Report completeness: Low

Actors/Campaigns:
Uac-0245
Sandworm

Threats:
Cabinetrat
Sandbox_evasion_technique
Antidebugging_technique

Victims:
Information agencies

Industry:
Critical_infrastructure

Geo:
Ukraine

ChatGPT TTPs:
do not use without manual check
T1204.002, T1566.002

IOCs:
File: 12
Registry: 10
Hash: 44
Path: 5
Command: 1
IP: 2

Soft:
Windows registry, VirtualBox, QEMU, Hyper-V

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Бэкдор CABINETRAT, используемый злоумышленником UAC-0245, облегчает несанкционированный доступ и контроль над системами при целенаправленных атаках. Недавние инциденты связаны с распространением Вредоносного файла, замаскированного под документ пограничной службы, через приложение для обмена сообщениями Signal, демонстрирующее стратегические методы социальной инженерии актора. Вредоносное ПО, вероятно, включает в себя функции для эксфильтрации данных, обмена командами и контролем, а также перемещения внутри компании в сетях, что отражает распространенные возможности бэкдора.
-----

Бэкдор CABINETRAT был идентифицирован как вредоносный инструмент, используемый хакерской группировкой UAC-0245 для целенаправленных атак на информационные ресурсы (IAS). Последние разведывательные данные указывают на конкретный инцидент, когда файл с именем "500.zip " был распространен через приложение для обмена сообщениями Signal. Этот файл был замаскирован под документ, связанный с задержанием лиц, пытавшихся пересечь государственную границу Украины, что указывает на стратегический подход к социальной инженерии со стороны злоумышленника.

CABINETRAT, вероятно, служит для облегчения несанкционированного доступа и контроля над скомпрометированными системами, позволяя UAC-0245 выполнять дальнейшие вредоносные действия после заражения. Тактика внедрения вредоносного ПО в, казалось бы, безобидные документы подчеркивает растущую тенденцию в кибератаках, когда злоумышленники используют текущие события или конфиденциальные темы, чтобы заманить жертв к открытию вредоносных файлов. Этот конкретный подход не только подчеркивает намерение актора нацелиться на лиц, связанных с безопасностью границ, но и демонстрирует методичную стратегию нацеливания, типичную для искушенных злоумышленников.

По мере развития ситуации с использованием CABINETRAT организациям по-прежнему крайне важно сохранять бдительность, внедрять надежные меры кибербезопасности и информировать персонал о рисках, связанных с нежелательными файлами и обманчивыми методами обмена сообщениями. Точные методы, используемые при развертывании CABINETRAT, хотя и не детализированы в отчете, указывают на общие функциональные возможности бэкдора, которые обычно включают эксфильтрацию данных, командную связь и средства управления, а также перемещение внутри компании в сетях.

#ParsedReport #CompletenessLow
04-10-2025

Malvertising Campaign Hides in Plain Sight on WordPress Websites

https://blog.sucuri.net/2025/10/malvertising-campaign-hides-in-plain-sight-on-wordpress-websites.html

Report completeness: Low

Victims:
Wordpress websites, Website visitors

ChatGPT TTPs:
do not use without manual check
T1059.007, T1071.001, T1105, T1190, T1583.001, T1584.004, T1608.004, T1659

IOCs:
File: 1
Domain: 2
Url: 2

Soft:
WordPress, cPanel

Functions:
ti_custom_javascript

Languages:
php, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была обнаружена кампания Вредоносной рекламы, нацеленная на несколько веб-сайтов WordPress, где был загружен несанкционированный JavaScript, который действовал как удаленный загрузчик, извлекающий вредоносный контент с сервера управления по адресу hxxps://brazilc.com/ads.php . PHP-код выполнил запрос POST, введя ответы в раздел HTML head, что привело к вредоносному ПО drive-by, которое отображало поддельные запросы на проверку и потенциально скомпрометированные пользовательские данные. Этот инцидент подчеркивает риск того, что злоумышленники могут манипулировать темами WordPress для внедрения вредоносного кода, создавая угрозы как целостности веб-сайта, так и безопасности посетителей.
-----

Недавнее расследование выявило кампанию Вредоносной рекламы, затронувшую несколько веб-сайтов WordPress, на которые загружался несанкционированный JavaScript без согласия владельца сайта. Этот JavaScript, идентифицированный по меньшей мере на 17 веб-сайтах в ходе анализа, действовал как удаленный загрузчик, который извлекал вредоносный контент с сервера командования и контроля (C&C), специально размещенного по адресу hxxps://brazilc.com/ads.php . Механизм включал в себя PHP-код, инициирующий POST-соединение с сервером C&C и впоследствии вводящий ответ сервера в головной раздел HTML-документа.

Присутствие вредоносного ПО drive-by было значительным, поскольку посетители сталкивались с фальсифицированным контентом, таким как поддельные запросы на проверку CloudFlare, что могло привести к дальнейшему использованию или компрометации пользовательских данных. Эта ситуация иллюстрирует, как злоумышленники могут манипулировать, казалось бы, безобидными изменениями в темах WordPress для внедрения внешнего вредоносного кода, тем самым угрожая целостности посетителей веб-сайта.

Для предотвращения подобных атак администраторам веб-сайтов крайне важно постоянно обновлять все плагины, темы и базовое программное обеспечение. Необходимо регулярно вносить исправления для устранения известных уязвимостей. Для обнаружения любых признаков бэкдоров, SEO-спама или вредоносных программ необходимо последовательно выполнять сканирование как на стороне сервера, так и на стороне клиента. Использование надежных уникальных паролей для всех точек доступа, включая sFTP, базы данных и учетные записи администраторов, может значительно повысить безопасность.

Более того, мониторинг журналов на предмет любых необычных или подозрительных действий и использование системы мониторинга целостности файлов могут еще больше усилить защиту. Рекомендуется использовать брандмауэр веб-приложений (WAF) для предотвращения атак ботов, попыток брутфорса и выявления входящих угроз, что повысит общую степень защиты от этого типа Вредоносной рекламы. Этот инцидент иллюстрирует постоянный риск, связанный с незначительными изменениями кода, которые могут иметь серьезные последствия как для операторов веб-сайтов, так и для их посетителей.

#ParsedReport #CompletenessMedium
30-09-2025

0day .ICS attack in the wild

https://strikeready.com/blog/0day-ics-attack-in-the-wild/

Report completeness: Medium

Actors/Campaigns:
Unk_heatsink

Victims:
Email service users, Zimbra server users

Industry:
Ics, Military

Geo:
Russian, Libyan, Spanish, Portuguese, Brazil

CVEs:
CVE-2025-27915 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1041, T1071.001, T1114

IOCs:
IP: 1
Url: 1
Email: 1
Hash: 1

Soft:
Zimbra, Roundcube, Outlook

Algorithms:
base64

Functions:
createHiddenFieldsForUsernameAndPasswordCapturing, stealUsernameAndPasswordFromLoginForm, startActivityMonitoring, isMetadataLoaded, setMetadataLoaded, searchForEmailsInFolderAndSendToAttackerServer, addMaliciousFilters, stealScratchCodeTrustedDevicesGetAppSpecificPasswords, stealContactsAndDistributionLists, stealSharedFolders, have more...

Languages:
javascript

Links:
https://github.com/StrikeReady-Inc/research/tree/main/2025-09-29%20ics%200day

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новая атака zero-day, нацеленная на промышленные системы управления (ICS), использует нераскрытые уязвимости, что указывает на возможности изощренного злоумышленника. Кроме того, функция взаимодействия с сервером Zimbra использует SOAP API для поиска и эксфильтрации электронных писем, демонстрируя методичный подход к краже данных. Этот инцидент подчеркивает риски, связанные с удаленным выполнением кода и несанкционированным доступом к данным посредством законных взаимодействий с сервером.
-----

Появилась атака zero-day, нацеленная на промышленные системы управления (ICS), что указывает на значительную угрозу в киберпространстве. Эта атака использует ранее неизвестные уязвимости, которые еще предстоит раскрыть или исправить поставщикам программного обеспечения, что делает затронутые системы особенно уязвимыми. Характер атаки предполагает наличие изощренного злоумышленника, способного использовать эти уязвимости в злонамеренных целях.

В связанной операции сообщалось о функции, предназначенной для взаимодействия с сервером Zimbra. Эта функция использует API Simple Object Access Protocol (SOAP) для выполнения поиска электронных писем в определенной папке на почтовом сервере Zimbra. Этот процесс включает в себя получение идентификаторов электронной почты, а также содержимого этих электронных писем. Впоследствии эта информация отправляется злоумышленнику, демонстрируя методичный подход к эксфильтрации данных.

Используемый метод указывает на хорошо спланированное использование тактики удаленного выполнения кода или извлечения данных, которая использует существующие серверные сервисы. Использование SOAP-запросов для несанкционированного доступа к информации является примером потенциального вектора, с помощью которого злоумышленники могут вести наблюдение или собирать конфиденциальные данные из скомпрометированных систем. Таким образом, эта атака подчеркивает необходимость для организаций внедрять надежные меры безопасности, поддерживать обновленные системы и внимательно следить за своей сетевой активностью, чтобы снизить риск, связанный как с уязвимостями zero-day, так и с целенаправленным сбором данных посредством законных взаимодействий с сервисами.

#ParsedReport #CompletenessHigh
02-10-2025

XWorm V6: Exploring Pivotal Plugins

https://www.trellix.com/blogs/research/xworm-v6-exploring-pivotal-plugins/

Report completeness: High

Actors/Campaigns:
Xcoder

Threats:
Xworm_rat
Darkcloud
Houdini_rat
Snake_keylogger
Shadowsniff_stealer
Phantom_stealer
Phemedrone
Remcos_rat
Pulsar_rat
Weevilproxy
Ilprotector_tool
Dll_injection_technique
Nocry
Celestialrat
R77rk_tool
Process_injection_technique
Process_hollowing_technique

Geo:
Chinese

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1012, T1027, T1036, T1041, T1055, T1055.012, T1056.001, T1057, T1059.001, T1059.003, have more...

IOCs:
Domain: 1
File: 29
IP: 1
Registry: 3
Path: 2
Url: 2
Hash: 22

Soft:
Telegram, Windows security, Chromium, Chrome, Torch, CocCoc, Xvast, Microsoft Edge Chromium, Blisk, Nichrome, have more...

Wallets:
metamask

Algorithms:
aes, base64, zip, aes-cbc, sha512, md5, sha256, gzip

Functions:
Run, CloseScreen, RunRecovery, GetDrives, CloseFM, ENC, Dec

Win API:
ARC, GetExtendedTcpTable, LoadLibrary, checkRemoteDebuggerPresent

Languages:
rust, javascript, powershell

Platforms:
x86

Links:
have more...
https://github.com/eastonkurth/xworm-rce
https://github.com/ElektroKill/ILPUnpack