#ParsedReport #CompletenessMedium
08-10-2025

The ClickFix Factory: First Exposure of IUAM ClickFix Generator

https://unit42.paloaltonetworks.com/clickfix-generator-first-of-its-kind/

Report completeness: Medium

Threats:
Clickfix_technique
Deerstealer
Odyssey_stealer
Clipboard_injection_technique
Clickflix_technique

Victims:
Windows users, Macos users

Geo:
Russian, Amer

ChatGPT TTPs:
do not use without manual check
T1027, T1036.003, T1059, T1059.001, T1105, T1204.001, T1566.002, T1583.001

IOCs:
IP: 9
File: 4
Hash: 26
Domain: 37
Url: 1

Soft:
macOS, tradingview

Algorithms:
base64, sha256

Functions:
JavaScript

Languages:
powershell, javascript

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Технология ClickFix превращается в доступные наборы для фишинга, что облегчает ее использование менее квалифицированными злоумышленниками. Эти наборы манипулируют пользователями, заставляя их запускать вредоносное ПО для кражи информации с помощью тактики социальной инженерии. Недавние кампании демонстрируют специализированные страницы для фишинга, которые изобретательно имитируют проблемы безопасности, используя обнаружение операционной системой и вводящие в заблуждение команды для доставки вариантов вредоносного ПО, таких как DeerStealer и Odyssey Infostealer, что подчеркивает тревожную тенденцию в фишинге как услуге.
-----

Вредоносная технология, известная как ClickFix, превращается в легкодоступные наборы для фишинга, что позволяет более широкому кругу злоумышленников эффективно использовать ее. Этот метод социальной инженерии заставляет пользователей обходить протоколы безопасности путем ручного запуска вредоносного ПО, которое обычно предназначено для кражи информации и удаленного контроля доступа. Эта тенденция отражает более широкое явление фишинга как услуги, которое снижает уровень технических знаний, необходимых для проведения успешных атак.

Недавние расследования выявили генератор наборов для фишинга, общедоступный по IP-адресу 38.242.212.5, впервые обнаруженный 18 июля 2025 года и работавший до начала октября. Злоумышленники использовали этот набор для создания многочисленных страниц для фишинга, тематически связанных с ClickFix, которые умело имитируют проблемы проверки браузера, используемые CDN и платформами веб-безопасности. На этих страницах представлены методы индивидуального обнаружения операционной системы и механизмы копирования команд, позволяющие обманным путем заставить жертв вручную загружать и запускать полезные программы вредоносного ПО.

Две известные кампании иллюстрируют применение этого набора для фишинга. Первая, получившая название "Атака только для Windows" с использованием вредоносного ПО DeerStealer, не выявляла ОС, таким образом, нацеливаясь только на пользователей Windows без предоставления альтернативных инструкций для macOS или других систем. Вторая кампания, получившая название "Odyssey Infostealer", демонстрировала множество вариантов фишинг-страниц. В этом случае различные URL-адреса доставляли Odyssey Infostealer пользователям macOS, в то время как неустановленное вредоносное ПО было нацелено на пользователей Windows.

Варианты, ориентированные на Odyssey, демонстрировали уникальный метод доставки, при котором пользователи macOS сталкивались с командой в кодировке Base64, которая запускала загрузку Odyssey, в то время как пользователям Windows была представлена безвредная команда PowerShell. Эта команда-приманка была использована для усиления тактики социальной инженерии без высвобождения вредоносной полезной нагрузки. Команды-приманки часто использовали домены с кириллическими символами, которые визуально напоминали настоящие латинские, что еще больше усиливало их обманчивый внешний вид.

Страницы фишинга, связанные с кампанией 2, несмотря на различия в стратегиях таргетинга и методах доставки, имеют общую архитектуру, что указывает на единый источник разработки. Это включает в себя идентичные структуры HTML и согласованные соглашения об именовании в рамках их функций JavaScript.

Появление генератора ClickFix IUAM подчеркивает критическую эволюцию в ландшафте киберугроз. Это иллюстрирует, как доступные инструменты могут дать менее квалифицированным киберпреступникам возможность осуществлять сложные мультиплатформенные атаки, используя надежные методы обеспечения безопасности, что свидетельствует о тревожном сдвиге в динамике киберпреступлений.

#ParsedReport #CompletenessLow
07-10-2025

Crimson Collective: A New Threat Group Observed Operating in the Cloud

https://www.rapid7.com/blog/post/tr-crimson-collective-a-new-threat-group-observed-operating-in-the-cloud

Report completeness: Low

Actors/Campaigns:
Crimson_collective

Threats:
Trufflehog_tool

Victims:
Cloud service providers, Technology sector

Geo:
Ukraine, Russia

CVEs:
CVE-2021-42572 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 4
Technics: 15

IOCs:
Coin: 1
IP: 4

Functions:
GetCalletIdentity, CreateUser, CreateLoginProfile, CreateAccessKey, SimulatePrincipalPolicy, AttachUserPolicy, GetUser, GetAccount, GetBucketLocation, GetHostedZoneCount, have more...

Win API:
GetObject

Links:
https://github.com/trufflesecurity/trufflehog

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Crimson Collective - это новый злоумышленник, специально нацеленный на облачные среды AWS для эксфильтрации данных и вымогательства, примером чего может служить их недавняя атака на Red Hat, в ходе которой они скомпрометировали частные репозитории GitLab. Они используют инструмент с открытым исходным кодом TruffleHog для поиска открытых учетных данных AWS, что позволяет им получать доступ к системам и повышать привилегии учетных записей администраторов. Их тактика включает в себя детальную разведку ресурсов AWS и манипулирование экземплярами AWS RDS для извлечения конфиденциальных данных с последующей отправкой сообщений о вымогательстве через сервис электронной почты AWS Simple.
-----

Crimson Collective - это недавно выявленная хакерская группировка, нацеленная на облачные среды AWS с целью эксфильтрации данных и вымогательства. Недавняя деятельность группы включает в себя взятие на себя ответственности за атаку на Red Hat, в ходе которой они якобы украли частные репозитории из GitLab. Первоначальный доступ для Crimson Collective осуществляется с помощью инструмента с открытым исходным кодом под названием TruffleHog, который они используют для поиска открытых учетных данных AWS. Этот законный инструмент, обычно используемый для аудита безопасности, помогает группе проходить аутентификацию в системах, используя найденные учетные данные для запроса конечных точек API, раскрывая подробную информацию об объектах AWS Identity and Access Management (IAM).

Как только доступ получен, группа повышает привилегии, создавая учетные записи с правами администратора. Их действия на этапе обнаружения включают детальное отображение инфраструктуры AWS, включая перечисление экземпляров EC2, томов EBS, конфигураций VPC, баз данных и ролей IAM. Эта разведка позволяет им досконально изучить окружающую среду, и они дополнительно проверяют квоты на обслуживание, особенно для Amazon SES и SMS, используя эти сервисы для потенциальной отправки вредоносных сообщений.

Этап сбора данных сосредоточен вокруг службы реляционных баз данных AWS (RDS), где злоумышленники выполняют вызовы API для изменения основного пароля пользователя экземпляра. Эта манипуляция дает им возможность входить в базу данных и выполнять запросы, извлекая тем самым конфиденциальные данные. В случае успешного извлечения информации Crimson Collective отправляет жертве записку о вымогательстве с подробным описанием скомпрометированных данных. Они используют простой почтовый сервис AWS наряду с внешними Адресами эл. почты для доставки этих сообщений.

Crimson Collective представляет собой появляющуюся угрозу, ориентированную на использование облачных сред с помощью утечки учетных данных и слабых конфигураций IAM. Рекомендации по предотвращению включают сведение к минимуму использования долгосрочных учетных данных и предпочтение временным ролям для повышения общей защищенности от таких развивающихся угроз.

#ParsedReport #CompletenessLow
08-10-2025

Can you test my game? Fake itch.io pages spread hidden malware to gamers

https://www.malwarebytes.com/blog/threat-intel/2025/10/can-you-test-my-game-fake-itch-io-pages-spread-hidden-malware-to-gamers

Report completeness: Low

Victims:
Gamers

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1204, T1566

IOCs:
File: 2
Path: 5
Command: 1
Domain: 9

Soft:
Discord, Dropbox, Node.js, Chrome, Firefox, Opera, Steam

Languages:
powershell

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники нацеливаются на геймеров с помощью тактики социальной инженерии, используя вредоносные запросы на тестирование игр на таких платформах, как Discord. Жертв заманивают на фальшивку itch.io страница, на которой при загрузке исполняемого файла запускается PowerShell с закодированной командой, доставляющей дополнительное вредоносное ПО. Такой подход повышает доверие среди геймеров, скрывая при этом цель атаки с помощью кодирования - распространенного метода уклонения.
-----

Киберпреступники используют тактику социальной инженерии для распространения вредоносного ПО, замаскированного под запросы на тестирование игр, на таких платформах, как Discord, особенно ориентируясь на геймеров. Схема начинается, когда человек — будь то известный контакт или неизвестный разработчик — запрашивает помощь в тестировании игры, обычно с помощью вредоносной подделки itch.io страница. Эта тактика использует доверие игроков к своим коллегам и привлекательность загрузки новых игр.

Перейдя по ссылке на вредоносную страницу, пользователи неосознанно инициируют загрузку исполняемого файла. Этот исполняемый файл предназначен для запуска PowerShell с длинной закодированной командой, которая запускает дополнительное вредоносное ПО, не вызывая немедленных подозрений. Использование закодированных команд - распространенный метод уклонения, используемый злоумышленниками для маскировки своих вредоносных намерений от пользователей и программного обеспечения безопасности.

Чтобы снизить риски, связанные с такими загрузками, пользователям следует следить за выполнением PowerShell, в частности, за флагом -EncodedCommand, который указывает на то, что потенциально вредоносный скрипт выполняется в фоновом режиме. Мониторинг запущенных процессов может помочь выявить любые скрытые сценарии, которые могут выполняться в результате заражения.

Тем, кто мог непреднамеренно запустить вредоносное ПО, рекомендуется немедленно отключить зараженное устройство от любых сетей, чтобы предотвратить дальнейшую компрометацию, и провести тщательную проверку с помощью программного обеспечения безопасности, такого как Malwarebytes. Это важно для выявления и устранения любых скрытых угроз, которые могли быть внедрены в систему.

#ParsedReport #CompletenessLow
08-10-2025

Angara MTDR specialists have recorded increased activity by the Rare Werewolf group.

https://www.angarasecurity.ru/stati/spetsialisty-angara-mtdr-zafiksirovali-aktivizatsiyu-deyatelnosti-gruppirovki-rare-werewolf/

Report completeness: Low

Actors/Campaigns:
Librarian_ghouls
Sticky_werewolf

Threats:
Anydesk_tool
Defendercontrol_tool

Victims:
Russian organizations

Geo:
Russian, Moscow, Kazakhstan, Russia, Belarus

ChatGPT TTPs:
do not use without manual check
T1036.003, T1059.003, T1105, T1204.002, T1219, T1555.003, T1562.001, T1566.001

IOCs:
File: 12
Registry: 2
Hash: 9
Path: 12

Soft:
Windows Defender, Telegram

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Rare Werewolf активизировала усилия по фишингу, нацеленные на российские организации, с целью сбора учетных данных. Их метод заключается в отправке обманчивых электронных писем с зашифрованными архивами, содержащими вредоносный исполняемый файл N_YYYY.scr, который устанавливает AnyDesk и запускает сбор паролей. Последующие этапы включают загрузку инструментов с qinformer.ru для извлечения дополнительного вредоносного ПО и отключения мер безопасности, включая скрипты для удаления защитника Windows, раскрывающие их передовые тактики в области социальной инженерии и развертывания вредоносного ПО.
-----

Группа Rare Werewolf активизировала свою деятельность по фишингу, в первую очередь направленную на сбор учетных данных у сотрудников российских организаций. Стратегия атаки включает в себя отправку электронных писем, которые маскируются под внутренние сообщения, касающиеся технических спецификаций. Сопровождающий эти электронные письма зашифрованный архив содержит вредоносную полезную нагрузку, замаскированную под PDF-документ, который на самом деле является исполняемым файлом с именем N_YYYY.scr, созданным с помощью Smart Install Maker. Этот файл представляет собой самораспаковывающийся установщик, который запускает заражение после его открытия жертвой.

После запуска вредоносное ПО, в частности, устанавливает инструмент удаленного мониторинга и управления RMM AnyDesk, загружает дополнительные утилиты и начинает процесс сбора паролей пользователей. Компрометация еще более усугубляется, поскольку украденные данные передаются на удаленный сервер, идентифицированный как qinformer.ru . На начальных этапах атаки, как ни странно, не создается никаких файлов в системе, что указывает на возможные ошибки при создании полезной нагрузки вредоносного ПО, поскольку остаются записи реестра, оставшиеся от предыдущих атак.

Вторая фаза атаки ознаменована использованием модифицированной консольной версии архиватора Rar, помеченной как `driver.exe `, который также загружен с скомпрометированного ресурса qinformer.ru . Наряду с этим, кампания получает bk.архив rar для извлечения дополнительных скрытых файлов и зашифрованного pas.rar архив, содержащий скрипты и утилиты, предназначенные для сбора паролей. Эти сценарии также направлены на отключение существующих мер безопасности, включая удаление защитника Windows и брандмауэра.

На третьем этапе заражения развертывается несколько специальных утилит и приложений. К ним относятся AnyDesk.exe для удаленного доступа, а также другие исполняемые файлы, такие как bat.bat, blat.exe, dc.exe, mlpv.exe и wbpv.exe. Каждый из этих файлов служит определенной цели - от управления защитником Windows до восстановления паролей электронной почты и браузера.

Следовательно, сохраняющаяся угроза, исходящая от группы Rare Werewolf, подчеркивает важность осведомленности пользователей о попытках фишинга и острую необходимость в надежных методах обеспечения безопасности, особенно в организационной среде. Эволюционирующий характер их тактики демонстрирует глубокое понимание социальной инженерии и методов доставки вредоносного ПО.

#ParsedReport #CompletenessMedium
08-10-2025

The Evolution of Chaos Ransomware: Faster, Smarter, and More Dangerous

https://www.fortinet.com/blog/threat-research/evolution-of-chaos-ransomware-faster-smarter-and-more-dangerous

Report completeness: Medium

Threats:
Chaos_ransomware
Shadow_copies_delete_technique
Blacksnake
Lucky_ghost

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.004, T1083, T1115

IOCs:
Hash: 9
File: 2
Command: 2
Path: 1

Soft:
bcdedit, Windows CryptoAPI

Crypto:
bitcoin

Algorithms:
sha256, aes, xor, base64

Functions:
WriteFileW

Win API:
CreateProcessA, CryptAcquireContextA, CryptCreateHash, CryptHashData, CryptDeriveKey, CryptSetKeyParam, CryptEncrypt, GetTickCount, CreateFileW, MessageBoxW, have more...

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Chaos ransomware эволюционировал с появлением версии на C++, которая использует разрушительное шифрование, захват буфера обмена и ускоренные стратегии атак. Замаскированный под "System Optimizer v2.1", загрузчик Chaos-C++ выполняет свою полезную нагрузку программы-вымогателя, имитируя законный процесс Windows и инициализируя файл журнала. Он использует AES для шифрования, когда это возможно, или более слабый метод XOR, использующий системное количество тиков в качестве ключа, а также нацеливается на адреса биткойн-кошельков с помощью перехвата буфера обмена, что указывает на переход к более сложным методам Манипуляций с данными.
-----

Chaos ransomware претерпела значительную эволюцию, приведшую к появлению варианта на C++, который объединяет разрушительные методы шифрования, возможности перехвата буфера обмена и более быстрые стратегии атак. Загрузчик Chaos-C++, идентифицированный SHA256: 2fb01284cb8496ce32e57d921070acd54c64cab5bb3e37fa5750ece54f88b2a4, маскируется под утилиту под названием System Optimizer v2.1. Во время выполнения он представляет консоль с поддельными сообщениями оптимизации для установления достоверности, в то время как он молча инициирует свою полезную нагрузку программы-вымогателя, связанным файлом является Chaos-C++. _type3 (SHA256: 19f5999948a4dcc9b5956e797d1194f9498b214479d2a6da8cb8d5a1c0ce3267).

После выполнения Chaos-C++ начинает с Маскировки под законный процесс Windows, изменяя название своего консольного окна на svchost.exe и создаем файл журнала по адресу %TMP%\svchost_debug.log. Эта начальная фаза включает в себя 15-секундную задержку, вероятно, предназначенную для обхода автоматического обнаружения в изолированной среде. Программа-вымогатель впоследствии перечисляет файлы, начиная с пользовательских каталогов и распространяясь на другие диски.

Процесс шифрования зависит от успешного доступа к функциям Windows CryptoAPI. Если эти функции доступны, Chaos-C++ выполняет шифрование AES для защиты файлов. Однако в случаях, когда CryptoAPI недоступен, программа-вымогатель прибегает к менее безопасному методу шифрования XOR. Он использует системное количество тиков в качестве ключа для этого метода XOR, делая файлы нечитаемыми, но значительно ослабляя эффективность шифрования по сравнению с AES.

Другим заметным достижением в варианте Chaos-C++ является реализация перехвата буфера обмена. Вредоносное ПО сканирует адреса биткоин-кошельков, проверяя их длину и структуру, гарантируя, что оно нацелено на узнаваемые форматы криптовалют. Эта разработка расширяет возможности программы-вымогателя, выходящие за рамки простого шифрования данных, что предполагает переключение внимания злоумышленников на более сложные методы Манипуляций с данными.

Эволюция программы-вымогателя The Chaos, особенно в варианте The Chaos-C++, демонстрирует возрастание сложности и диверсифицированный подход к атакам. Комбинируя различные методы шифрования и внедряя перехват буфера обмена, злоумышленники, по-видимому, стремятся как к повышению эффективности, так и к нарушению работы с данными, что делает вредоносное ПО более устойчивым к сбоям. Эта эволюция свидетельствует о тревожной тенденции в разработке программ-вымогателей, поскольку злоумышленники используют более продвинутые тактики для максимального воздействия.

#ParsedReport #CompletenessMedium
08-10-2025

The Evolution of Qilin RaaS

https://www.sans.org/blog/evolution-qilin-raas

Report completeness: Medium

Actors/Campaigns:
Qilin (motivation: cyber_criminal)
Hastalamuerte
Fin12
0ktapus
Moonstone_sleet
Stac4365

Threats:
Qilin_ransomware
Supply_chain_technique
Lockbit
Blackcat
Ransomhub
Nokoyawa
Conti
Ryuk
Devman
Arkana
Screenconnect_tool
Winrm_tool
Blackbasta

Victims:
Healthcare, Hospitals, Internet service provider

Industry:
Healthcare

Geo:
Canada, Russian, North korean, Chinese

CVEs:
CVE-2023-27532 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1566, T1587

IOCs:
Domain: 5
IP: 1

Soft:
Outlook, ESXi, Telegram, PsExec

Crypto:
bitcoin

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Qilin Ransomware-as-a-Service (RaaS), переименованная из Agenda, использует партнерскую модель, позволяющую русскоязычным филиалам использовать ее инфраструктуру для обмена выкупами. Недавние действия включают кампанию фишинга, направленную против поставщика управляемых услуг, и запуск Arkana Security, которая утверждает, что скомпрометировала миллионы записей. Операции Qilin's демонстрируют эволюционирующую тактику, включая функцию "позвонить юристу" для филиалов, подчеркивающую сложную систему поддержки в рамках RaaS.
-----

Программа-вымогатель Qilin как услуга (RaaS) стала серьезной киберугрозой с момента своего появления в середине 2022 года. Первоначально действовавшая под названием Agenda ransomware, группа переименовалась в Qilin. Киберпреступники, стоящие за Qilin, говорят по-русски и используют партнерскую модель, при которой аффилированные лица могут получить доступ к инфраструктуре RaaS в обмен на долю выкупных платежей. Эта система включает в себя предоставление аффилированным лицам полезных программ-вымогателей, переговорных порталов и анонимного общения через сети Tor.

В июне 2022 года Microsoft выявила аффилированного с Agenda ransomware пользователя, известного как DEV-0237 или FIN12. Эта организация ранее была связана с несколькими другими значительными разновидностями программ-вымогателей, включая Nokoyawa, ALPHV/BlackCat, Hive, Conti и Ryuk. Взаимосвязанный характер операций RaaS очевиден, поскольку филиалы Qilin имеют различное происхождение, включая спонсируемых государством противников и организованные киберпреступные группировки.

Недавние события в экосистеме Qilin включают появление новой группы под названием Arkana Security в марте 2025 года. Arkana запустила сайт утечки данных, утверждающий, что скомпрометировала более 2 миллионов записей WideOpenWest, крупного американского интернет-провайдера. Связь между Arkana и Qilin была подчеркнута использованием ими общего логотипа на сайте Arkana's, что указывает на потенциальное сотрудничество или общие ресурсы в рамках сети RaaS.

Примечательной функцией, введенной Qilin в июне 2025 года, стала опция юридической помощи "вызов юриста" для аффилированных лиц. Предполагается, что эта услуга направлена на предоставление юридических консультаций, которые помогут киберпреступникам эффективно вести переговоры о вымогательстве, что означает эволюцию сложности и поддержки, предлагаемых в рамках операций RaaS.

В конце января 2025 года филиалы Qilin провели сложную кампанию фишинга, нацеленную на поставщика управляемых услуг (MSP), используя оповещения об аутентификации, связанные с инструментом удаленного управления ScreenConnect. Это стало значительным инцидентом с точки зрения атак на Цепочки поставок, приписываемых Qilin group.

Учреждения здравоохранения остаются важнейшей мишенью для филиалов Qilin, что соответствует исторической направленности FIN12 на атаки на больницы. Перспективы Qilin RaaS указывают на продолжающуюся эволюцию тактики, методов и процедур (TTP), что требует постоянного совершенствования систем обнаружения и устойчивости к угрозам программ-вымогателей. По мере адаптации киберпреступности организации должны сохранять бдительность в своей защите от таких динамичных и многогранных операций RaaS.

#technique

Polymorphic Python Malware
https://isc.sans.edu/diary/32354

#technique

pull_request_nightmare Part 1: Exploiting GitHub Actions for RCE and Supply Chain Attacks

https://orca.security/resources/blog/pull-request-nightmare-github-actions-rce/

pull_request_nightmare Part 2: Exploiting GitHub Actions for RCE and Supply Chain

https://orca.security/resources/blog/pull-request-nightmare-part-2-exploits/

#ParsedReport #CompletenessMedium
09-10-2025

APT Meets GPT: Targeted Operations with Untamed LLMs

https://www.volexity.com/blog/2025/10/08/apt-meets-gpt-targeted-operations-with-untamed-llms/

Report completeness: Medium

Actors/Campaigns:
Uta0388

Threats:
Spear-phishing_technique
Govershell
Healthkick

Victims:
Organizations

Geo:
Asia, America, Asian, China, Japanese, Taiwan, American, Chinese, Korea, French, German

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1053.005, T1059.001, T1071.001, T1204.002, T1566.002, T1574.001, T1583.001

IOCs:
File: 6
Url: 2
Command: 3
Path: 2
Domain: 7

Soft:
ChatGPT, OpenAI, ProtonMail, Outlook, Gmail, Tablacus, Microsoft Word

Algorithms:
bcrypt, base64, xor, aes, md5, zip

Functions:
Volexity

Languages:
golang, powershell

Links:
https://github.com/tablacus/TablacusExplorer
https://github.com/python-openxml/python-docx
have more...