#ParsedReport #CompletenessHigh
02-12-2025

Analysis of StreamSpy, a new Trojan horse utilizing WebSocket in Mahabusa (APT-Q-36)

https://www.ctfiot.com/284804.html

Report completeness: High

Actors/Campaigns:
Donot (motivation: cyber_espionage)
Mahabharata

Threats:
Streamspy
Spyder

Industry:
Government, Military, Education

Geo:
Asian

TTPs:
Tactics: 2
Technics: 0

IOCs:
Hash: 9
Url: 16
File: 1
Domain: 2

Soft:
Android, WeChat

Algorithms:
aes, md5, zip

Functions:
getCommand

Win API:
ShellExecuteExW, ShellExecuteA, deleteFile, CreateProcessW

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Троянец StreamSpy, приписываемый группе Mahabusa (APT-Q-36), использует WebSocket для постоянной связи со своими серверами командования и контроля, расширяя возможности извлечения данных и уклоняясь от обнаружения. Эта группа, специализирующаяся на кибершпионаже в различных секторах Азии, демонстрирует передовые оперативные навыки и готовность использовать уязвимости, обусловленные геополитическими мотивами. Использование WebSocket знаменует собой значительную эволюцию в их методологии атак, бросая вызов средствам защиты от кибербезопасности.
-----

Анализ троянца StreamSpy, приписываемого группе Mahabusa (также известной как APT-Q-36), показывает инновационное использование WebSocket для связи, что знаменует собой значительную эволюцию в методологии атаки. Эта группа действует уже более десяти лет, уделяя особое внимание кибершпионажу, направленному на различные секторы Азиатского региона, включая правительственные, военные, энергетические, промышленные, исследовательские, образовательные, дипломатические и экономические организации.

StreamSpy использует протокол WebSocket для поддержания постоянной связи в режиме реального времени со своими серверами управления (C2), что позволяет осуществлять динамическое и скрытое извлечение данных. Этот метод обладает преимуществами по сравнению с традиционными коммуникациями на основе HTTP, поскольку обеспечивает двусторонний интерактивный канал, способный обходить определенные сетевые средства защиты. Использование WebSocket также может затруднить обнаружение шаблонов трафика, увеличивая скрытность вредоносного ПО и продолжительность его работы.

Историческое прошлое группировки Mahabusa указывает на сложные оперативные возможности и региональную направленность, что может свидетельствовать о том, что их угрозы продиктованы геополитическими интересами. Их многолетняя деятельность указывает на устойчивую приверженность кибероперациям, предполагая, что они могут использовать передовые технологии, чтобы избежать обнаружения и воспользоваться уязвимостями в системах безопасности своих целей.

Нацеливание на различные секторы предполагает высокий уровень оперативной адаптивности и стратегический подход к сбору разведывательных данных, которые могут послужить основой для будущих атак или более широких киберкампаний. Поскольку эта группа продолжает развиваться, мониторинг их методов и методологий, особенно с внедрением таких технологий, как WebSocket, будет иметь решающее значение для стратегий обнаружения угроз и защиты.

Таким образом, появление StreamSpy в качестве троянца, использующего WebSocket, представляет собой заметную проблему для защиты кибербезопасности, особенно из-за его возможностей для постоянной связи. Угроза, исходящая от группировки Mahabusa, значительна, учитывая их исторический контекст и разнообразный круг целей.

#ParsedReport #CompletenessHigh
02-12-2025

Arkanix Stealer Jumps from Discord to Browser Sessions and Corporate Logins

https://cybersecsentinel.com/arkanix-stealer-jumps-from-discord-to-browser-sessions-and-corporate-logins/

Report completeness: High

Threats:
Arkanix
Process_injection_technique
Clickfix_technique
Vmprotect_tool
Credential_dumping_technique

Victims:
Corporate environments, Consumers, Cloud service users, Gaming communities

Industry:
Entertainment

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1041, T1055, T1056.004, T1059.006, T1071.001, T1082, T1105, T1119, have more...

IOCs:
Domain: 3
Command: 1
Url: 3
Hash: 7
File: 1

Soft:
Discord, Chromium, Chrome, Google Chrome, PyInstaller, DirectX, Opera, Vivaldi, Steam, Roblox, have more...

Wallets:
metamask, tronlink, electrum

Crypto:
binance

Algorithms:
sha256, md5

Languages:
python, powershell

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Arkanix Stealer - это кроссплатформенный стиллер информации, который эволюционировал от простого скрипта на Python до продвинутого варианта на C++, используя доверие пользователей с помощью таких платформ, как Discord. Для извлечения конфиденциальной информации, включая учетные данные и сеансовые файлы cookie, он использует такие методы, как Внедрение кода в процесс в браузеры на базе Chromium, в то время как его распространение основано на тактике социальной инженерии, нацеленной на VPN-клиентов. Централизованная инфраструктура командования и контроля вредоносного ПО использует Зашифрованные каналы для эксфильтрации данных, что позволяет злоумышленникам обходить Многофакторную аутентификацию и потенциально подвергать риску корпоративную среду.
-----

Arkanix Stealer - это развивающийся кроссплатформенный стиллер информации, известный своим быстрым развитием и изощренными методами уклонения. Первоначально идентифицированный как простой скрипт на Python, он превратился в более продвинутый вариант на C++, который работает через Discord и другие социальные платформы, используя доверие пользователей. Злоумышленники, стоящие за Arkanix, являются финансово мотивированными киберпреступниками, которые существуют в экосистеме вредоносного ПО как сервиса.

Вредоносное ПО использует различные методы эксплуатации, в первую очередь Внедрение кода в процесс в браузеры на базе Chromium, что позволяет ему обходить шифрование, связанное с приложением. Эта возможность позволяет Arkanix красть целый ряд конфиденциальной информации, включая учетные данные, сессионные куки, cookies и данные кошелька. В Arkanix используется модуль, известный как Chrome Elevator, который работает после эксплуатации, напрямую запрашивая конфиденциальные данные внутри браузера, а не расшифровывая файлы извне.

Основными направлениями распространения являются тактики социальной инженерии, такие как обман на тему ClickFix и Имперсонация игровых инструментов. Область применения широка, основное внимание уделяется клиентам виртуальной частной сети (VPN) и извлечению сохраненных учетных данных и профилей с помощью команд, которые взаимодействуют с сетевыми настройками системы. Arkanix также извлекает данные из популярных браузеров и приложений-кошельков, одновременно собирая широкий спектр системных параметров для создания полного отпечатка пальца жертвы.

Инфраструктура командования и контроля для Arkanix централизована, с Зашифрованными каналами, облегчающими эксфильтрацию данных. Украденные данные позволяют злоумышленникам обходить механизмы Многофакторной аутентификации, что приводит к дальнейшим нарушениям в корпоративной среде. Например, доступ к таким сервисам, как Microsoft 365, Slack и Salesforce, может осуществляться с помощью перехваченных сеансовых файлов cookie. Украденная информация, включая профили VPN и беспроводные ключи, создает риски для сетевых взломов, предоставляя злоумышленникам доступ к корпоративным сетям.

Arkanix не имеет известных механизмов закрепления и требует Выполнения с участием пользователя, что отчасти объясняет, почему его оценка угрозы в настоящее время повышена до 6,4. Быстрая адаптация вредоносного ПО и модульная конструкция повышают его способность собирать конфиденциальную информацию, значительно повышая риск. Несмотря на то, что он процветает за счет немедленной прибыли от украденных данных, журналы часто продаются брокерам первоначального доступа для дальнейшей киберпреступной деятельности, что указывает на многоуровневую модель атаки.

Чтобы смягчить угрозу, рекомендуемые стратегии включают блокировку известных доменов, связанных с Arkanix, принудительное включение в список разрешенных приложений и внедрение комплексной программы обучения пользователей рискам социальной инженерии. Адаптивность Arkanix Stealer подчеркивает постоянную необходимость разработки средств защиты от все более изощренных киберугроз.

#ParsedReport #CompletenessMedium
03-12-2025

Shai-Hulud V2 Poses Risk To NPM Supply Chain

https://www.zscaler.com/blogs/security-research/shai-hulud-v2-poses-risk-npm-supply-chain

Report completeness: Medium

Threats:
Shai-hulud
Supply_chain_technique
Credential_harvesting_technique
Trufflehog_tool

Victims:
Software supply chain, Developers, Npm ecosystem, Github repositories, Ci cd pipelines, Cloud services users

Industry:
Software_development

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 21
Hash: 3

Soft:
Node.js, macOS, Linux, Docker, ubuntu

Algorithms:
deflate, base64, gzip, sha256

Languages:
javascript

Platforms:
cross-platform

Links:
https://github.com/trufflesecurity/trufflehog

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Shai-Hulud версии 2 вредоносного ПО, выявленная 24 ноября 2025 года, представляет серьезную угрозу Цепочке поставок программного обеспечения npm, компрометируя более 700 пакетов npm и создавая более 27 000 вредоносных репозиториев GitHub. Он использует предустановленные сценарии жизненного цикла, повышающие его возможности для атак, и применяет методы сбора учетных записей, ориентированные на основные облачные платформы, при этом фильтруя данные через репозитории GitHub, чтобы избежать обнаружения. Кроме того, он обеспечивает червеобразное распространение в экосистеме npm и использует агенты сборки Azure DevOps, что свидетельствует о значительном расширении его тактики и воздействия.
-----

Кампания по распространению вредоносного ПО Shai-Hulud версии 2, выявленная 24 ноября 2025 года, представляет значительную угрозу Цепочке поставок программного обеспечения npm. Эта кампания, которую операторы называют "Вторым пришествием", основана на предыдущей версии Shai-Hulud V1, демонстрируя эволюцию тактики и более агрессивный таргетинг на экосистему npm. В течение нескольких часов после обнаружения было скомпрометировано более 700 пакетов npm, а также создано более 27 000 вредоносных репозиториев на GitHub, которые раскрыли около 14 000 секретов в 487 организациях.

Кампания Shai-Hulud версии 2 использует сценарий жизненного цикла предустановки для запуска атак, в отличие от Shai-Hulud версии 1, использующей перехватчики после установки. Это стратегическое изменение позволяет вредоносному коду выполняться даже в случае сбоя установки пакета, что значительно усиливает потенциальное воздействие атаки. Заметным улучшением в этой версии является использование Bun, высокопроизводительной среды выполнения JavaScript, которую вредоносный установочный скрипт использует для различных операций.

Shai-Hulud V2 демонстрирует улучшенное выполнение с учетом окружающей среды, автоматически адаптируя свое поведение в зависимости от среды выполнения. Вредоносное ПО реализует механизм сбора учетных записей, который использует учетные данные различных платформ, включая те, которые связаны с крупными облачными провайдерами, такими как AWS, GCP и Azure, входящие в состав вредоносного ПО. Кроме того, он неправильно использует TruffleHog, секретный инструмент сканирования с открытым исходным кодом, для просмотра домашних каталогов пользователей в поисках конфиденциальной информации.

Для эксфильтрации данных Shai-Hulud V2 использует скомпрометированные токены для отправки украденных данных во вновь созданные репозитории GitHub, а не на внешние серверы управления (C2), что затрудняет обнаружение за счет Маскировки вредоносного трафика под законную активность на GitHub. Вредоносное ПО также может перерабатывать учетные данные, полученные от предыдущих жертв, расширяя свой охват.

Эта кампания также включает в себя возможность червеобразного распространения по всей экосистеме npm, автоматизируя процесс распространения на новые цели с использованием действительных токенов npm. Его функции включают установку автономных средств запуска GitHub Actions, позволяющих постоянно выполнять удаленный код, и создание вредоносных файлов рабочего процесса, которые используют уязвимости внедрения команд в обсуждениях на GitHub.

Кроме того, Shai-Hulud V2 развертывает рабочие процессы для сбора секретов действий GitHub и упаковки их в артефакт JSON, облегчающий поиск конфиденциальной информации. Переключатель dead man's повышает устойчивость вредоносного ПО, вызывая Уничтожение данных, если оно теряет доступ как к GitHub, так и к npm во время усилий по локализации, что усложняет судебно-медицинское восстановление.

Наконец, вредоносное ПО включает специализированную логику, адаптированную для использования агентов сборки Azure DevOps в системах Linux, что еще больше расширяет диапазон его векторов атак. Таким образом, кампания Shai-Hulud V2 представляет собой серьезный риск для Цепочки поставок, характеризующийся агрессивными методами и адаптивностью.

#ParsedReport #CompletenessHigh
02-12-2025

Malicious Rust Crate evm-units Serves Cross-Platform Payloads for Silent Execution

https://socket.dev/blog/malicious-rust-crate-evm-units-serves-cross-platform-payloads

Report completeness: High

Threats:
Evm-units
Supply_chain_technique
Process_injection_technique

Industry:
Retail

Geo:
China, Asian, Asia, Chinese

TTPs:
Tactics: 1
Technics: 10

IOCs:
Url: 1
Hash: 1
File: 8

Soft:
Linux, MacOS, Outlook

Crypto:
ethereum, uniswap

Algorithms:
base64

Functions:
get_evm_version, check, temp_dir, main

Languages:
applescript, powershell, rust

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Rust crate от evm-units представляет значительную угрозу, поскольку скрытно выполняет полезную нагрузку по краже криптовалюты в целевых системах, Маскировка под помощника виртуальной машины Ethereum. Он активируется с помощью функции `get_evm_version()`, что приводит к развертыванию Вредоносных файлов: в macOS скрипт с именем "init" выполняется с помощью `osascript`, а в Windows - скрипт PowerShell, сохраненный во временном каталоге. Вредоносное ПО использует методы обмана, чтобы избежать обнаружения, и использует различные тактики MITRE ATT&CK, подчеркивая риски, связанные с уязвимостями в Цепочке поставок.
-----

Вредоносный Rust crate, известный как evm-units, был идентифицирован как серьезная угроза из-за его способности обслуживать кроссплатформенные полезные нагрузки, которые незаметно выполняются в целевых операционных системах, в первую очередь с целью кражи криптовалюты. Замаскированное под помощника для проверки версий виртуальной машины Ethereum (EVM), это вредоносное ПО использует свой законный внешний вид для быстрого выполнения, не вызывая подозрений у пользователей.

evm-units активируется при вызове функции `get_evm_version()`, которая предназначена для возврата номера версии. Хотя это кажется безобидным, оно инициирует серию операций, ведущих к развертыванию фактической полезной нагрузки. Реализация crate в Linux функционирует аналогично, но конкретные детали, касающиеся ее полезной нагрузки, менее выделены по сравнению с механизмом, используемым в macOS и Windows.

В системах macOS вредоносное ПО загружает и запускает файл с именем "init", хранящийся во временном каталоге системы. При выполнении используется `osascript`, запускаемый в фоновом режиме с помощью `nohup`, гарантирующий, что атака продолжается без каких-либо видимых указаний для пользователя, облегчая процесс бесшумного заражения для последующих этапов атаки.

В среде Windows полезная нагрузка использует другую тактику; она сохраняет загруженный файл как скрипт PowerShell (.ps1) во временном каталоге. Примечательно, что вредоносное ПО проверяет наличие Qihoo 360, потенциально чтобы избежать обнаружения этим конкретным решением безопасности.

Поведение полезной нагрузки сильно напоминает загрузчик второго этапа, использующий обманчивую логику для самостоятельного выполнения при обращении к кажущейся безобидной функции. Возвращаемое значение настраивается таким образом, чтобы оно всегда было равно предопределенной константе, что вводит пользователей или любого стороннего наблюдателя в заблуждение, заставляя думать, что функция выполняет свое предназначение без срабатывания аварийных сигналов.

Различные методы, связанные с этой киберугрозой, согласуются с платформой MITRE ATT&CK, в частности, Компрометация цепочки поставок (T1195), использование Интерпретатора командной строки и сценариев (T1059), Выполнение с участием пользователя Вредоносного файла (T1204.002) и ряд других, связанных с запутыванием, Внедрением кода в процесс и выполнением через Веб-протоколы. Этот многогранный переносчик инфекции в сочетании с механизмами бесшумного выполнения и стратегиями уклонения подчеркивает необходимость повышенной бдительности в отношении таких рисков, связанных с Цепочкой поставок, в средах разработки программного обеспечения.

#ParsedReport #CompletenessHigh
03-12-2025

Operation DupeHike : UNG0902 targets Russian employees with DUPERUNNER and AdaptixC2

https://www.seqrite.com/blog/9512-2/

Report completeness: High

Actors/Campaigns:
Dupehike
Ung0902

Threats:
Duperunner
Adaptixc2_tool
Spear-phishing_technique
Lolbin_technique
Process_injection_technique

Victims:
Hr departments, Payroll departments, Administrative departments, Russian corporate entities, Employees

Geo:
Russian federation, Russian

TTPs:
Tactics: 8
Technics: 21

IOCs:
File: 15
Command: 2
IP: 1
Hash: 11

Algorithms:
zip, 7zip, sha256

Functions:
GetTargetPID, CreateToolHelp

Win API:
InternetOpenA, ShellExecuteA, InternetReadFile, VirtualAllocEx, VirtualAlloc, GetProcAddress

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция DupeHike, приписываемая злоумышленнику UNG0902, нацелена на российские корпоративные сектора, в частности отдел кадров и расчет заработной платы, используя Целевой фишинг с использованием поддельных документов. Атака включает вредоносный ZIP-файл, содержащий PDF и LNK-файл, который загружает имплантат DUPERUNNER и подключается обратно к инфраструктуре AdaptixC2. В кампании используются различные методы из платформы MITRE ATT&CK, включая Целевой фишинг для первоначального доступа, PowerShell для выполнения и продвинутые методы уклонения для поддержания безопасной связи и эксфильтрации данных.
-----

Кампания "Операция DupeHike", приписываемая злоумышленнику UNG0902, конкретно нацелена на российские корпоративные структуры, в частности, на отделы кадров, расчета заработной платы и внутреннего администрирования. Кампания использует методы Целевого фишинга с использованием поддельных документов, имитирующих темы, связанные с премиями сотрудникам и внутренней финансовой политикой, чтобы заманить жертв. Цепочка заражения начинается с вредоносного ZIP-файла, содержащего комбинацию PDF и LNK-файла, предназначенного для загрузки имплантата с именем DUPERUNNER, который впоследствии подключается к инфраструктуре управления AdaptixC2 (C2).

Технический анализ этой кампании состоит из трех этапов. Первый этап включает в себя проверку вредоносного скрипта LNK, который встроен в ZIP-файл. Этот скрипт разработан для выполнения команды PowerShell, управляющей загрузкой имплантата DUPERUNNER с удаленного сервера. Второй этап фокусируется на самом имплантате DUPERUNNER, двоичном коде C++ с расширенными функциональными возможностями, позволяющими ему выполнять различные команды и собирать системную информацию. На третьем этапе детализируется маяк AdaptixC2, который изначально замаскирован под файл шрифта (fontawesome.woff). Этот маяк работает путем загрузки шелл-кода в память, облегчая обратную связь с инфраструктурой злоумышленника.

В инфраструктурном плане кампания использует два ключевых артефакта, связанных с сетью. Первый - это URL-адрес, с которого вредоносный LNK загружает имплантат DUPERUNNER, в то время как второй относится к размещению инфраструктуры AdaptixC2. Полученные данные указывают на то, что злоумышленник остается постоянным, что указывает на спонсируемую национальным государством мотивацию, нацеленную на российский корпоративный сектор.

Применяемая тактика тесно согласуется с различными техниками, указанными в рамках MITRE ATT&CK. Примечательно, что первоначальный доступ осуществляется с помощью Целевого фишинга (T1566.001), в то время как выполнение облегчается взаимодействием пользователя с вредоносным файлом LNK (T1204.002) и PowerShell (T1059.001). В кампании представлены различные методы обхода защиты, включая Маскировку и запутывание (T1036, T1027), а также методы Внедрения кода в процесс (T1055.003). Кроме того, адаптация маяка для зашифрованной связи (T1573) указывает на расширенные возможности злоумышленника по поддержанию защищенных каналов командования и контроля.

С помощью этих методов операция DupeHike демонстрирует, как изощренные кампании Целевого фишинга могут скомпрометировать целевые организации, используя передовые стратегии вредоносного ПО и исполнения, чтобы избежать обнаружения при одновременной фильтрации конфиденциальных данных в корпоративной среде.

#ParsedReport #CompletenessLow
03-12-2025

DIANNA Explains 4: Nimbus ManticoreMonstrous Malware

https://www.deepinstinct.com/blog/dianna-explains-4-nimbus-manticore-monstrous-malware

Report completeness: Low

Actors/Campaigns:
Tortoiseshell

Industry:
Software_development

TTPs:
Tactics: 2
Technics: 0

IOCs:
File: 1

Algorithms:
exhibit

Functions:
RPC

Win API:
GetProcAddress, LoadLibraryA, LoadLibraryExW, GetSystemTimeAsFileTime, QueryPerformanceCounter, RpcImpersonateClient

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Nimbus ManticoreMonstrous - это сложная угроза вредоносного ПО, которая использует многоэтапный процесс заражения, в основном с использованием фишингов-атак для доставки вредоносной полезной нагрузки. После активации он подключается к серверу управления для удаленного управления системой, обеспечивая эксфильтрацию данных и развертывание дополнительных инструментов, используя при этом запутывание кода и polymorphism для уклонения от обнаружения. Вредоносное ПО нацелено как на системы Windows, так и на Linux и использует известные уязвимости программного обеспечения для первоначального компрометации и закрепления.
-----

Чудовищное вредоносное ПО Nimbus Mantic - это недавно выявленная киберугроза, демонстрирующая изощренное поведение, направленное на компрометацию систем. Он использует многоэтапный процесс заражения, что позволяет ему оставаться стойким и избегать обнаружения традиционными мерами безопасности. Вредоносное ПО часто запускает свой вектор атаки с помощью кампаний фишинга, которые доставляют вредоносную полезную нагрузку, встроенную в кажущиеся безобидными файлы или ссылки.

После запуска вредоносное ПО устанавливает соединение с сервером управления (C2), позволяя злоумышленнику удаленно управлять зараженной системой. Он может извлекать конфиденциальные данные, развертывать дополнительные вредоносные инструменты и проводить разведку скомпрометированной среды. Примечательно, что Nimbus ManticoreMonstrous использует передовые методы уклонения, такие как запутывание кода и polymorphic поведение, что затрудняет анализ и обнаружение с помощью решений безопасности.

Важным аспектом этого вредоносного ПО является его способность работать как в средах Windows, так и в Linux, что указывает на широкий спектр потенциальных целей. Кроме того, вредоносное ПО использует известные уязвимости в программных приложениях, чтобы облегчить первоначальный взлом и поддерживать закрепление в целевой сети. Это делает необходимым, чтобы организации уделяли приоритетное внимание управлению уязвимостями и внесению исправлений для защиты от таких угроз.

Индикаторы компрометации (IOCs), связанные с Nimbus ManticoreMonstrous, включают конкретные хэши файлов, IP-адреса C2 и необычное поведение процесса, указывающее на его работу. В целом, угроза, исходящая от этого вредоносного ПО, подчеркивает необходимость надежных мер безопасности и постоянного мониторинга для предотвращения, обнаружения и реагирования на многогранные киберугрозы.

#ParsedReport #CompletenessMedium
03-12-2025

Technical Analysis of Matanbuchus 3.0

https://www.zscaler.com/blogs/security-research/technical-analysis-matanbuchus-3-0

Report completeness: Medium

Threats:
Matanbuchus_maas
Junk_code_technique
Rhadamanthys
Netsupportmanager_rat
Microsoft_quick_assist_tool

Victims:
Ransomware operators, Information stealer distribution, Remote access trojan distribution

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1053.005, T1059, T1059.003, T1105, T1140, T1480, T1497.003, T1620, have more...

IOCs:
Domain: 2
Url: 1
File: 3
Registry: 1
Hash: 4

Soft:
Windows Defender

Algorithms:
zip, sha256, chacha20, murmur

Languages:
python, powershell

Links:
https://github.com/ThreatLabz/tools/blob/main/matanbuchus/matanbuchus.proto

#ParsedReport #ExtractedSchema

Classified images:
code: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4