#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В конце мая 2025 года телекоммуникационная компания столкнулась с киберинцидентом, выявившим нарушение с помощью выполненных команд bash в ее базе данных PostgreSQL, которое было прослежено до подрядчика-администратора. Фракция злоумышленников NGC5081 была связана с усовершенствованным бэкдором, разработанным Rust, IDFKA, что подчеркивает возрастающую сложность вредоносного ПО. Этот инцидент подчеркивает целенаправленные угрозы телекоммуникационной инфраструктуре, которые могут поставить под угрозу конфиденциальные данные и нарушить работу служб.
-----

В конце мая 2025 года кибератака с участием телекоммуникационной компании побудила Solar 4RAYS провести расследование, которое объединило усилия, инициированные Solar JSOC. Первоначальное нарушение характеризовалось выполнением команд bash через базу данных PostgreSQL во внутренней инфраструктуре компании. Когда следователи проследили за деятельностью подрядчика, ответственного за администрирование базы данных, они выявили две различные группировки злоумышленников, действующих в сети подрядчика.

Одна из этих фракций, обозначенная как NGC5081, использовала продвинутый и ранее не обнаруженный бэкдор под названием IDFKA, разработанный в Rust. Этот бэкдор представляет собой значительное техническое достижение, свидетельствующее о растущей сложности вредоносного ПО, используемого в кибератаках. Идентификация IDFKA подчеркивает постоянную угрозу, исходящую от изощренных злоумышленников, способных интегрировать передовые языки программирования для создания скрытных и эффективных средств вторжения.

Подробности, связанные с бэкдором IDFKA, остаются ограниченными, но его связь с группой NGC5081 предполагает целенаправленный подход к нарушению телекоммуникационной инфраструктуры, что потенциально может поставить под угрозу конфиденциальные данные и нарушить работу критически важных служб. Инцидент подчеркивает важность постоянного мониторинга и возможностей быстрого реагирования в организациях для снижения рисков, связанных с такими продвинутыми угрозами. Этот случай служит напоминанием о необходимости принятия надежных мер по кибербезопасности, особенно в секторах, в основе которых лежит целостность данных и непрерывность работы.

#ParsedReport #CompletenessLow
01-12-2025

Arkanix Stealer: Newly discovered short term profit malware

https://www.gdatasoftware.com/blog/2025/12/38306-arkanix-stealer

Report completeness: Low

Threats:
Arkanix
Vmprotect_tool
Process_injection_technique
Elevator

Victims:
Consumers, Cryptocurrency users

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036, T1041, T1059.006, T1082, T1083, T1105, T1106, T1119, have more...

IOCs:
File: 1
Url: 4
Command: 1
Hash: 2

Soft:
Discord, Steam, Nuitka, telegram, Chrome, Opera, Vivaldi, Chrome, Chromium, BlockBlasters

Wallets:
exodusweb3, metamask, electrum

Crypto:
binance

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Arkanix Stealer - это недавно обнаруженное недолговечное вредоносное ПО, первоначально написанное на Python и быстро адаптированное к C++, предназначенное для кражи конфиденциальной финансовой информации. Он использует Discord для распространения, работает через систему только по приглашениям и нацелен на такие браузеры, как Edge и Chrome, а также расширения для криптовалютных кошельков. Вредоносное ПО собирает такие данные, как токены Discord и учетные данные Wi-Fi, и передает их на сервер командования и контроля, используя передовые методы обхода мер безопасности.
-----

Arkanix Stealer - это недавно идентифицированное вредоносное ПО, предназначенное для сбора конфиденциальной информации с целью получения финансовой выгоды, характеризующееся как Stealer. Первоначально разработанное на Python, вредоносное ПО эволюционировало и включило вариант на C++ в течение месяца после своего обнаружения. В основном он распространяется через такие платформы, как Discord, Маскировка под законные инструменты или общие посты на форумах.

Механизм распространения Arkanix's основан на системе только для приглашений, доступ к которой осуществляется через Discord, для Создания учетных записей для веб-панели, где пользователи могут получить доступ к различным функциям, включая "Премиум"-функции. Версия C++ предлагает широкие возможности для кражи, такие как возможность собирать конфиденциальные данные из популярных браузеров, включая Edge и Chrome, и нацеливаться на определенные расширения браузера, связанные с криптовалютными кошельками (например, MetaMask, Binance). Он систематически выполняет поиск пользовательских файлов в определенных каталогах и загружает любой найденный контент на удаленный сервер, не прерывая другие действия по сбору данных. Собранные ключевые данные включают токены Discord, системные спецификации и учетные данные Wi-Fi; последние получены с помощью инструментов командной строки Windows. Собранные данные отправляются на сервер командования и контроля, hxxps://arkanix.pw/delivery, хотя этот сервер был неактивен во время составления отчета, что ограничивает дальнейший анализ полезной нагрузки.

Версия Arkanix на Python использует Nuitka для компиляции кода в самодостаточный исполняемый файл, обеспечивая простое развертывание без необходимости дополнительных установок. Эта версия извлекает компоненты, необходимые для запуска байт-кода Python, обеспечивая бесперебойную работу после выполнения. Вариант C++, хотя и функционально схож, объединяет передовые методы обхода мер безопасности, в частности шифрование, привязанное к приложениям Apple, введенное в Chrome версии 127, которое защищает учетные данные, гарантируя, что только запрашивающее приложение может расшифровать их, тем самым препятствуя несанкционированному доступу.

#ParsedReport #CompletenessLow
27-11-2025

3 OAuth TTPs Seen This Month - and How to Detect Them with Entra ID Logs

https://www.wiz.io/blog/recent-oauth-attacks-detection-strategies

Report completeness: Low

Actors/Campaigns:
Storm-2372

Threats:
Device_code_phishing_technique

Industry:
Media, Iot

Geo:
Asia

Soft:
Graph API, Azure AD, Azure Active Directory, Windows Hello

Algorithms:
exhibit

Functions:
count

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
code: 8, schema: 3, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Последние тенденции свидетельствуют об изменении тактики киберпреступников, особенно с акцентом на атаки на основе OAuth. Злоумышленники используют потоки OAuth для подделки токенов доступа и используют фишинг для кражи учетных данных, часто в обход Многофакторной аутентификации (MFA), используя законные токены сеанса. Эта эволюция создает значительные проблемы с обнаружением для организаций, требуя усиленного мониторинга действий по аутентификации для выявления аномалий в использовании токенов OAuth и улучшения возможностей реагирования на инциденты.
-----

Последние тенденции в атаках на основе OAuth подчеркивают эволюцию тактики, применяемой киберпреступниками, особенно в ответ на усиленные меры безопасности, такие как Многофакторная аутентификация (MFA) и условный доступ. Злоумышленники все чаще используют скомпрометированные учетные данные в качестве основного метода получения несанкционированного доступа, демонстрируя явный сдвиг в своих стратегиях обхода защищенных протоколов аутентификации. Злоупотребление протоколами OAuth позволяет злоумышленникам выполнять атаки на основе идентификационных данных, которые часто могут маскироваться под законные действия пользователя, тем самым значительно усложняя обнаружение.

Основные методы атаки, отмеченные в рамках этого ландшафта, включают использование потоков OAuth для подделки токенов доступа, использование стратегий фишинга для кражи учетных данных и обход MFA с использованием законных токенов сеанса. Используя эти методы, злоумышленники могут получить доступ к чувствительным областям внутри организационных сетей без необходимости задействования традиционных механизмов защиты. Это привело к растущему беспокойству специалистов по безопасности относительно эффективности существующих процедур проверки личности и необходимости более продвинутых возможностей обнаружения.

Чтобы противодействовать этим изощренным атакам, организациям рекомендуется отслеживать журналы входных данных, которые могут дать важную информацию о потенциально вредоносных действиях по проверке подлинности. Анализируя эти журналы, службы безопасности могут обнаруживать аномалии, связанные с использованием токена OAuth, такие как необычные исходные IP-адреса, схемы доступа, которые отличаются от ожидаемого поведения, и множественные попытки входа в систему в разных географических точках.

Эта ситуация подчеркивает необходимость постоянной эволюции стратегий безопасности, поскольку злоумышленники остаются адаптивными, подчеркивая важность того, чтобы организации лучше понимали процессы аутентификации и совершенствовали свои возможности реагирования на инциденты. Поскольку число атак, основанных на идентификации, продолжает расти, использование комплексных механизмов мониторинга и обнаружения угроз будет иметь решающее значение для защиты конфиденциальной информации от все более неуловимых и изощренных противников.

#ParsedReport #CompletenessHigh
28-11-2025

Not Thor anymore: how we tracked down one faction and "woke up" another.

https://habr.com/ru/companies/pt/articles/967426/

Report completeness: High

Actors/Campaigns:
Quietcrabs (motivation: cyber_criminal)
Thor

Threats:
Krustyloader
Sliver_c2_tool
Nltest_tool
Adrecon_tool
Godpotato_tool
Secretsdump_tool
Mimikatz_tool
Lockbit
Babuk
Tactical_rmm_tool
Meshcentral_tool
Meshagent_tool
Process_injection_technique
Credential_dumping_technique
Fscan_tool
Cobalt_strike_tool

Victims:
Various industries, Russian companies

Industry:
Healthcare

Geo:
American, Russia, America, Russian

CVEs:
CVE-2025-53771 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)

CVE-2025-4427 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti endpoint_manager_mobile (<11.12.0.5, <12.3.0.2, <12.4.0.2, 12.5.0.0)

CVE-2025-4428 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti endpoint_manager_mobile (<11.12.0.5, <12.3.0.2, <12.4.0.2, 12.5.0.0)

CVE-2023-38035 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti mobileiron_sentry (le9.18.0)

CVE-2020-1472 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_server_1903 (*)
- microsoft windows_server_1909 (*)
- microsoft windows_server_2004 (-)
- microsoft windows_server_2008 (r2)
- microsoft windows_server_2012 (-, r2)
have more...
CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)

CVE-2021-27065 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2013, 2016, 2019)


TTPs:
Tactics: 12
Technics: 50

IOCs:
File: 18
Command: 5
Path: 5
IP: 29
Url: 2
Hash: 42

Soft:
Ivanti, Linux, SharePoint server, WireGuard, Active Directory, Telegram, Microsoft Outlook, Microsoft SharePoint Server, ASP.NET, Windows Service, have more...

Algorithms:
zip, md5, base64, xor, sha256, sha1

Win API:
RtlCreateUserThread, GetLogicalDrives

Languages:
java, rust, powershell, visual_basic

Platforms:
x64, cross-platform

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 6, dump: 2, chart: 1

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Экспертный центр безопасности Positive Technologies выявил вредоносное ПО KrustyLoader в атаках, использующих уязвимости RCE zero-day в Ivanti Connect Secure, впервые обнаруженные в январе 2024 года. Группа QuietCrabs использовала это вредоносное ПО наряду с Веб-шеллом ASPX для выполнения команд и загрузчиком JSP, связанным с эксплойтами Java, нацеленным на несколько отраслей промышленности, преимущественно в России. Их тактика включала разведку, использование уязвимостей, таких как CVE-2025-53770, выполнение команд через PowerShell и получение учетных данных с помощью незащищенных значений SharePoint, что указывает на очень сложную стратегию атаки.
-----

Команда Positive Technologies Expert Security Center (PT ESC) в ходе своего расследования обнаружила вредоносное ПО KrustyLoader, которое впервые было обнаружено в январе 2024 года при атаках с использованием уязвимостей удаленного выполнения кода zero-day (RCE) в защищенном продукте Ivanti Connect. Первоначально созданный для Linux, позже были найдены версии KrustyLoader для Windows. Группа QuietCrabs была идентифицирована как основной пользователь этого вредоносного ПО, использующая его для нацеливания на различные отрасли промышленности в России и за ее пределами.

Чтобы укрепить свои позиции, QuietCrabs внедрили ASPX- Веб-шелл, который позволяет выполнять произвольные команды в скомпрометированных системах, возвращая результаты команд в виде обычного текста. Веб-шелл принимает два параметра: "cmd" для команды для выполнения и "timeout" для максимального времени выполнения. Группа также использовала в своих атаках загрузчик JSP, связанный с эксплойтами приложений Java, при этом основная роль KrustyLoader's заключалась в расшифровке URL-адресов, ведущих к загрузке полезной нагрузки, выполнении этих полезных нагрузок и внедрении их в целевые процессы.

Расследования выявили второстепенную группу, которая действовала одновременно с QuietCrabs, но использовала другие инструменты и добавляла больше шума к своим атакам, что облегчало обнаружение их деятельности. В их действиях наблюдалась заметная корреляция: QuietCrabs часто проявляли активность вскоре после группы Thor, что позволяет предположить, что QuietCrabs могли остаться незамеченными в скомпрометированной инфраструктуре, если бы не присутствие другой группы.

Анализ выявил примерно 110 российских компаний, потенциально подвергшихся воздействию группы Thor, которые использовали прямолинейные атаки, которые можно было бы смягчить или сдержать с помощью хорошо структурированных мер по кибербезопасности.

С точки зрения тактики, группа QuietCrabs продемонстрировала различное поведение, которое согласуется с концепцией MITRE ATT&CK. Их операции включали методы разведки, такие как Поиск уязвимостей и приобретение инфраструктуры с помощью таких сервисов, как Amazon S3 и DigitalOcean для серверов командования и контроля. Они использовали множество уязвимостей, включая CVE-2025-53770, для получения первоначального доступа и выполнения команд через PowerShell. Они установили закрепление с помощью Веб-шелла и обошли защиту, внедрив свои компоненты в такие процессы, как explorer.exe и запутывание файлов с использованием кодировки Base64.

Более того, получение учетных данных было достигнуто путем использования уязвимостей, которые позволяли получать незащищенные значения SharePoint. Методы обнаружения группы включали использование скриптов для сбора данных о конфигурации сети, и они установили командную и контрольную связь по Веб-протоколам наряду с использованием размещенных файлов в Amazon S3. Этот многогранный подход демонстрирует изощренность группы QuietCrabs и подчеркивает потенциальное воздействие их операций.

#ParsedReport #CompletenessMedium
01-12-2025

New Mac malware DigitStealer can steal your files, passwords, and browser data

https://moonlock.com/new-mac-malware-digitstealer

Report completeness: Medium

Threats:
Digitstealer
Clickfix_technique
Amos_stealer
Banshee
Macc_stealer
Typosquatting_technique

Victims:
Mac users, Cryptocurrency users

Industry:
Financial

Geo:
Asia, North korea, Hong kong

ChatGPT TTPs:
do not use without manual check
T1033, T1041, T1053.003, T1056.002, T1059.007, T1071.001, T1112, T1204.002, T1480, T1497.003, have more...

IOCs:
Url: 3
Domain: 1

Soft:
macOS, Ledger Live, Instagram

Languages:
javascript, applescript

Platforms:
apple, arm

#ParsedReport #ExtractedSchema

Classified images:
chats: 2, windows: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DigitStealer - это сложное вредоносное ПО для macOS, которое нацелено на файлы, пароли и данные браузера, в основном распространяемые через видеоролики YouTube. Он использует JavaScript для автоматизации (JXA) для закрепления и методов уклонения, включая региональные проверки, чтобы избежать обнаружения. Ключевые функциональные возможности включают в себя создание вводящих в заблуждение всплывающих окон для сбора учетных данных и изменение конфигураций Ledger Live для перенаправления транзакций, и все это при создании бэкдора для постоянного доступа и эксплуатации скомпрометированной системы.
-----

DigitStealer - это новое вредоносное ПО для macOS, идентифицированное Jamf Threat Labs, которое демонстрирует сложные методы кражи данных, нацеливаясь на файлы, пароли и данные браузера. Вредоносное ПО в основном распространяется через видеоролики на YouTube, используя приманки большого объема, потенциально с помощью спонсируемой рекламы. Его сложность указывает на то, что злоумышленник обладает глубоким пониманием безопасности macOS и ресурсов, необходимых для такого распространения.

Одним из примечательных технических аспектов работы DigitStealer's является использование JavaScript для автоматизации (JXA), который он использует для выполнения механизмов закрепления, гарантирующих, что вредоносное ПО остается скрытым в зараженной системе. После установки DigitStealer проводит несколько региональных проверок, чтобы избежать обнаружения или заражения в районах, где могут работать акторы, таким образом избегая проверки. Если эти проверки проходят успешно, вредоносное ПО инициирует свою атаку.

Первая полезная нагрузка вредоносного ПО направлена на захват системных паролей Mac путем генерации обманчивого всплывающего уведомления, выдающего себя за законный запрос учетных данных. Эти украденные имена пользователей и пароли впоследствии отправляются на сервер управления (C2). Другая полезная нагрузка специально изменяет конфигурации приложения Ledger Live, перенаправляя конечные точки транзакций на сервер, контролируемый злоумышленником, вместо установки поддельного приложения. Этот метод позволяет злоумышленнику манипулировать законным программным обеспечением, не привлекая внимания.

Для поддержания долгосрочного доступа четвертая полезная нагрузка DigitStealer's устанавливает механизмы закрепления, создавая бэкдор, который позволяет в дальнейшем использовать скомпрометированную систему. Этот бэкдор предоставляет злоумышленникам возможность вернуться, установить дополнительное вредоносное ПО, изменить настройки и собрать новые данные с зараженного Mac.

Учитывая растущую угрозу, исходящую от DigitStealer, пользователям Mac крайне важно внедрять лучшие практики в области цифровой безопасности. Рекомендации включают использование надежных антивирусных средств, адаптированных для macOS, блокирование сетевого трафика в подозрительных регионах и загрузку приложений исключительно из проверенных источников для снижения риска заражения. Появление DigitStealer подчеркивает меняющийся ландшафт распространения вредоносного ПО, нацеленного на macOS, подчеркивая необходимость принятия бдительных мер по кибербезопасности.

#ParsedReport #CompletenessMedium
01-12-2025

Chinese APT targets Uzbekistan

http://www.tgsoft.it/italy/news_archivio.asp?id=1693

Report completeness: Medium

Threats:
Plugx_rat
Dll_sideloading_technique
Cobalt_strike_tool

Victims:
Government agencies

Industry:
Government

Geo:
Chinese, Uzbekistan

IOCs:
File: 12
Hash: 3
Command: 1
Path: 1

Algorithms:
sha256, xor

Functions:
Set-Variable

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В ноябре 2023 года кампания кибершпионажа, приписываемая китайской APT-группировке, была направлена против правительственных учреждений Узбекистана посредством фишинг-атаки, имитировавшей официальные сообщения Министерства внутренних дел. В электронном письме использовались сложные методы социальной инженерии, чтобы склонить получателей к взаимодействию с ним, впоследствии подвергая их воздействию вредоносного ПО для эксфильтрации данных и слежки. Вредоносное ПО выполнялось скрытно, поддерживало закрепление в скомпрометированных системах и взаимодействовало с серверами командования и контроля, выявляя уязвимости в средствах защиты государственной кибербезопасности.
-----

В ноябре 2023 года Исследовательский центр по борьбе с вредоносным ПО (C.R.A.M.) TG Soft сообщил о кампании кибершпионажа, направленной на различные правительственные учреждения в Узбекистане, приписываемой китайской APT-группировке, занимающейся обработкой "продвинутых постоянных угроз" (advanced persistent threat). Эта кампания, в частности, включала в себя фишинг-атаку, в ходе которой использовалось вредоносное электронное письмо, замаскированное под официальное сообщение Министерства внутренних дел Узбекистана. Электронное письмо было составлено таким образом, чтобы выглядеть законным, и содержало информацию о правовой статистике и цифровых технологиях, которая, вероятно, побудила бы получателей взаимодействовать с ним.

Попытка фишинга характеризовалась изощренной тактикой социальной инженерии, использующей доверие, связанное с правительственными коммуникациями, для побуждения жертв к действию. Когда получатели взаимодействовали с электронной почтой, они подвергались воздействию вредоносного ПО, предназначенного для эксфильтрации данных и слежки, что указывало на намерение злоумышленников завладеть конфиденциальной правительственной информацией. Использование такой тактики подчеркивает эволюционирующий характер киберугроз, когда злоумышленники используют в своих операциях надежные источники, чтобы повысить свои шансы на успех.

Связанное с этим поведение вредоносного ПО иллюстрировало типичные методы APT: скрытное выполнение, поддержание закрепления в скомпрометированной среде и возможность обратной связи с серверами командования и контроля для передачи украденной информации. Этот инцидент служит суровым напоминанием об уязвимостях, затрагивающих правительственные системы, особенно в регионах, где киберзащита может быть менее надежной, что делает их главными мишенями для спонсируемых государством киберопераций.

В конечном счете, эта кампания отражает растущую тенденцию к тому, что APT-группировки все чаще определяют конкретные географические и политические цели, используя индивидуальные стратегии для сбора ценных данных, избегая при этом обнаружения. Поскольку ландшафт киберугроз продолжает развиваться, организации, особенно в уязвимых секторах, таких как правительство, должны повышать свою кибербезопасность путем внедрения комплексных мер безопасности и обучения пользователей, чтобы противостоять таким изощренным атакам.

#ParsedReport #CompletenessHigh
01-12-2025

Attacks of the Striking Panda: APT31 Today

https://ptsecurity.com/research/pt-esc-threat-intelligence/striking-panda-attacks-apt31-today/

Report completeness: High

Actors/Campaigns:
Apt31 (motivation: cyber_espionage)

Threats:
Localplugx
Cloudsorcerer
Coffproxy
Vtchatter
Cloudyloader
Onedrivedoor
Yaleak
Grewapacha
Cobalt_strike_tool
Dll_sideloading_technique
Tailscale_tool
Dev_tunnels_tool
Impacket_tool
Wmiexec_tool
Smbexec_tool
Mimikatz_tool
Passthehash_technique
Radmin_tool
Mstsc_tool
Owowa
Coffloader
Vmprotect_tool
Plugx_rat
Garble_tool

Victims:
It sector

Industry:
Government

Geo:
Russian

TTPs:
Tactics: 9
Technics: 1

IOCs:
File: 34
Path: 9
Command: 4
Registry: 3
Email: 1
Hash: 7

Soft:
MACOSX, Chrome, Unix macOS, Windows Setup, Outlook, Linux, Wolfssl, winlogon, Microsoft OneDrive

Algorithms:
lznt1, base64, rc4, xor, aes, md5, sha256, sha1, ror13

Functions:
Get-WinEvent, Write-Output, GetUserNameW

Win API:
ImpersonateLoggedOnUser, MessageBoxW, ZwAllocateVirtualMemory, ZwWriteVirtualMemory, ZwProtectVirtualMemory, ZwResumeThread, ZwOpenThread, ZwSuspendThread, ZwClose, ZwSetContextThread, have more...

Languages:
golang

Links:
https://github.com/evilashz/SharpADUserIP
https://github.com/GhostPack/SharpDPAPI
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4