#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавний анализ выявил кампанию вредоносного ПО QuasarRAT, использующую уязвимость WinRAR CVE-2025-6218, позволяющую злоумышленникам распространять вредоносную полезную нагрузку с помощью скрипта на Python с именем Coin.me.py.txt , который извлекает Адреса эл. почты из coinme.com пользователи. Этот скрипт загружает стеганографическое изображение в формате PNG, которое скрывает вредоносные двоичные файлы, выполняя их в памяти, чтобы обойти обнаружение. Кроме того, размещенный на GitHub скрипт Python помогает извлекать полезную нагрузку, связанную с определенным хэшем SHA256.
-----

Недавний анализ образцов вредоносного ПО, использующих уязвимость WinRAR CVE-2025-6218, выявил появление кампании вредоносного ПО QuasarRAT. Эта уязвимость позволяет злоумышленникам использовать недостатки в WinRAR, что приводит к распространению вредоносной полезной нагрузки. Идентифицирован один примечательный образец, на который ссылаются как Coin.me.py.txt , содержит скрипт на Python, предназначенный для извлечения Адресов эл. почты у пользователей coinme.com .

Скрипт работает независимо от антивирусных обнаружений и запрограммирован на загрузку изображения в формате PNG с удаленного сервера. В этом изображении используются методы Стеганографии, встраивающие вредоносные двоичные данные в значения пикселей. После успешного извлечения изображения конечная полезная нагрузка, которая может включать в себя функции для кражи информации или облегчения дистанционного управления, полностью выполняется в памяти, что позволяет избежать традиционных методов обнаружения.

Чтобы помочь в извлечении вредоносной полезной нагрузки, скрытой в изображении, в репозитории GitHub предоставляется скрипт на Python. Этот скрипт упрощает процесс и генерирует файл с меткой stage2_payload.bin, который связан с хэшем SHA256 d6775da94945ff5cbd26a1711f69cecdce981386983d2f504914630639563c36. Кампания подчеркивает эффективность использования известных уязвимостей и инновационного использования Стеганографии для сокрытия вредоносных действий в, казалось бы, безобидных типах файлов.

#ParsedReport #CompletenessHigh
08-12-2025

Operation FrostBeacon: Multi-Cluster Cobalt Strike Campaign Targets Russia

https://www.seqrite.com/blog/operation-frostbeacon-multi-cluster-cobalt-strike-campaign-targets-russia/

Report completeness: High

Actors/Campaigns:
Frostbeacon (motivation: financially_motivated)
Cobalt
Sidewinder

Threats:
Cobalt_strike_tool
Spear-phishing_technique
Process_injection_technique
Amsi_bypass_technique
Metasploit_tool

Victims:
B2b enterprises, Finance departments, Legal departments

Industry:
Logistic, Government, Financial

Geo:
Russian, Asia, Russian federation, Sri lanka, Russia, Bangladesh, Pakistan

CVEs:
CVE-2017-0199 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)
- microsoft windows_7 (-)
- microsoft windows_server_2008 (-, r2)
- microsoft windows_server_2012 (-)
- microsoft windows_vista (-)
have more...
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)


TTPs:
Tactics: 5
Technics: 12

IOCs:
Domain: 25
Hash: 65
Command: 1
File: 6
Url: 48
Path: 1
IP: 2

Soft:
Microsoft Word, openai

Algorithms:
base64, deflate, zip, md5, gzip, xor

Functions:
GetModuleHandle

Win API:
GetProcAddress, VirtualAlloc, LoadLibraryA, NtMapViewOfSection, CreateThread, NtQueueApcThread-s, CreateRemoteThread, RtlCreateUserThread

Languages:
powershell

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 4, table: 1, code: 2, dump: 1, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция FrostBeacon - это целенаправленная кампания вредоносного ПО, распространяющая Cobalt Strike Beacons среди российских организаций финансового и юридического секторов. Он использует фишинг-сообщения электронной почты с вредоносными архивными файлами и использует уязвимость CVE-2017-0199 во вложениях DOCX для выполнения удаленных файлов HTML-приложений. Злоумышленники используют команды PowerShell с обфускацией на уровне символов и сложную трехуровневую технику обфускации, чтобы избежать обнаружения, сочетая в своем подходе техническую эксплуатацию с тактикой социальной инженерии.
-----

Операция FrostBeacon - это целенаправленная кампания вредоносного ПО, выявленная Seqrite Labs, которая специально поставляет Cobalt Strike Beacons организациям на территории Российской Федерации, особенно тем, которые занимаются финансовыми и юридическими операциями. Кампания использует многоуровневую стратегию заражения с двумя различными кластерами: один использует архивные файлы с фишингом, содержащие вредоносные ярлыки, в то время как другой использует уязвимость CVE-2017-0199 с помощью вредоносных вложений DOCX.

Первый кластер инициирует инфекцию через фишинг-письма, которые несут сжимаются архивные файлы. Эти файлы предназначены, чтобы скрыть свою вредоносную нагрузку и избежать обнаружения. В отличие от этого, вторая группа использует файлы DOCX, который эксплуатирует уязвимость CVE-2017-0199, чтобы вызвать редактор формул, что впоследствии позволяет оформлении заявки на удаленной HTML (ОТЗ) файл. Эта уязвимость была центральным пунктом во многих кибератак несмотря на свой возраст, что свидетельствует о сохраняющейся эффективности таргетинга устаревшей недостатки программного обеспечения.

Стейджер Cobalt Strike, используемый в кампании, размещен по русскоязычному URL, "update.ecols.ru ," и дальнейшие разведывательные усилия выявили более 40 похожих URL-адресов для скачивания. Фаза выполнения вредоносного ПО включает в себя команды PowerShell, которые запускаются в скрытом режиме, что делает их невидимыми для пользователей. Примечательно, что злоумышленники используют запутывание на уровне символов (m ^ s ^ h ^ t ^ a) для активации mshta.exe , облегчающий скрытый поиск полезных данных для последующих атак.

Конечная полезная нагрузка PowerShell включает в себя сложную трехуровневую технологию запутывания для задержки обнаружения и защиты своей логики. Начальный этап содержится в сжатой с помощью gzip строке Base64, встроенной в MemoryStream. При распаковке это приводит к созданию вторичного скрипта PowerShell с критическими функциями, необходимыми для продвижения атаки.

Электронные письма с фишингом, используемые в этой операции, создаются таким образом, чтобы выглядеть как законные требования о погашении долга, создавая ощущение срочности и законности. Они угрожают судебным иском, если конкретные платежи не будут произведены к установленному сроку, используя точные формулировки контракта, которые также требуют отправки заверенного заявления о сверке по почте на их официальный адрес. Эта тактика манипулирования направлена на то, чтобы побудить жертв к ответным действиям, облегчая процесс проникновения.

В целом, операция FrostBeacon представляет собой подробные и последовательные усилия по финансово мотивированных хакеров для использования установленных уязвимостей, с использованием современных механизмов доставки и традиционных приемов социальной инженерии для достижения своих целей.

#ParsedReport #CompletenessHigh
09-12-2025

React2Shell: Technical Deep-Dive & In-the-Wild Exploitation of CVE-2025-55182

https://www.wiz.io/blog/nextjs-cve-2025-55182-react2shell-deep-dive

Report completeness: High

Threats:
React2shell_vuln
Credential_harvesting_technique
Sliver_c2_tool
Xmrig_miner
C3pool

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)

CVE-2021-4034 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- polkit_project polkit (<121)


TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059

IOCs:
File: 11
Domain: 2
IP: 13
Url: 26
Hash: 16
Coin: 1

Soft:
curl, Node.js, Docker

Crypto:
monero

Algorithms:
base64, sha1

Functions:
Function, eval

Languages:
python, javascript

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-55182 - критическая уязвимость во фреймворке React2Shell, которую злоумышленники активно используют для таких сценариев, как сбор учетных записей и создание облачных бэкдоров. Эксплуатация включает в себя сложные методы, включая использование автоматизированных сценариев для обхода мер безопасности и получения несанкционированного контроля над системами. Текущие угрозы указывают на значительные риски для целостности облачной инфраструктуры, поскольку злоумышленники используют эту уязвимость для дальнейшего проникновения и вредоносной активности.
-----

В статье представлен всесторонний анализ CVE-2025-55182, критической уязвимости, которая активно эксплуатировалась в дикой природе. Эта уязвимость относится к платформе React2Shell, что приводит к различным сценариям атак, в первую очередь к сбору учетных записей и созданию продвинутых облачных бэкдоров. Техническая разбивка раскрывает механизм эксплойта, иллюстрируя, как злоумышленники могут использовать эту уязвимость для получения несанкционированного доступа и контроля над целевыми системами.

Наблюдалась активная эксплуатация CVE-2025-55182, демонстрирующая настоятельную необходимость для организаций исправления уязвимых систем и снижения рисков. В статье подробно рассматриваются методологии, используемые злоумышленниками, подробно описываются процессы получения первоначального доступа и выполнения полезных нагрузок в облачных средах. Процесс эксплуатации часто включает в себя обход мер безопасности и неправильную настройку, чтобы облегчить развертывание вредоносного ПО для дальнейшего проникновения.

В резюме подчеркивается важность ситуационной осведомленности об этой уязвимости, поскольку она создает значительные риски для целостности облачной инфраструктуры. В нем освещаются сложные методы, лежащие в основе эксплуатации, такие как использование хорошо проработанных сценариев, которые автоматизируют процесс сбора учетных данных и доступа к конфиденциальным ресурсам. Анализ служит важнейшим ресурсом для специалистов по кибербезопасности, стремящихся понять эволюционирующую тактику киберугроз, связанную с фреймворком React2Shell и использованием CVE-2025-55182, и защититься от нее.

#ParsedReport #CompletenessMedium
09-12-2025

LLM's M.O.: F6 analysts examine the attack using PureCrypter and DarkTrack RATs

https://www.f6.ru/blog/purecrypter-darktrack-rat/

Report completeness: Medium

Threats:
Purecryptor
Darktrack
Darktrack_rat
Process_hollowing_technique

Geo:
Norway

IOCs:
File: 12
Hash: 18
Url: 1
Domain: 1
Path: 1
IP: 1

Soft:
Opera_GX, Opera, Telegram, Viber, WhatsApp

Algorithms:
md5, sha256, sha1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
F6 Threat Intelligence сообщила об атаке с использованием PureCrypter crypter и DarkTrack RAT, связанных с злоумышленником LLM. Вредоносный архив с именем "продукт-44 DSP.rar," обнаруженных на 21 ноября 2025 служит как индикатор компромисс, с PureCrypter запутывание полезной нагрузки, чтобы избежать обнаружения и DarkTrack обеспечивая постоянный доступ к жидкости эксфильтрация. Этот инцидент иллюстрирует сложный подход ЛЛМ в эксплуатируя уязвимости для выполнения скоординированных кибератаках.
-----

F6 Threat Intelligence сообщила о кибератаке с использованием PureCrypter и DarkTrack RAT, связанных с LLM (злоумышленником). 21 ноября 2025 года аналитики обнаружили вредоносный архив под названием "Продукт-44 DSP.rar " (MD5: d3b6c14b4bbad6fd72881ff6b88a0de4) загружен в общедоступную онлайн-"песочницу", которая послужила ключевым показателем компрометации для атаки.

Известно, что PureCrypter является адаптируемым шифровальщиком, который запутывает полезные данные, чтобы избежать обнаружения, в то время как DarkTrack идентифицируется как троян удаленного доступа (RAT), способный предоставлять злоумышленникам постоянный доступ к скомпрометированным системам, облегчая эксфильтрацию данных и манипулирование ими. Комбинация этих инструментов предполагает сложный подход со стороны злоумышленника LLM, использующего методы шифрования, позволяющие оставаться незамеченными при выполнении вредоносных команд на компьютерах жертв.

Расследование освещает тактику, применяемую LLM при использовании этих инструментов, что указывает на постоянную угрозу инфраструктурам безопасности. Изучая характеристики и поведение вредоносного архива, можно получить дополнительную информацию о возможностях и намерениях LLM group, поскольку она продолжает использовать уязвимости и организовывать скоординированные кибератаки. Акцент на непрерывном мониторинге и анализе подчеркивает неотложность реагирования на подобные угрозы в условиях меняющегося ландшафта киберпреступности.

#ParsedReport #CompletenessLow
09-12-2025

Inside the Triada Battle: A Five-Year Investigation and the Security Upgrades It Triggered

https://adex.com/blog/triada-malvertising-case-study/

Report completeness: Low

Threats:
Triada_trojan
Cloaking_technique

Victims:
Advertising technology, Mobile users

Industry:
Financial, Government

Geo:
India, Turkey, France, Turkish

ChatGPT TTPs:
do not use without manual check
T1078, T1080, T1105, T1195, T1204, T1566.002, T1583.001, T1585

IOCs:
File: 1
Email: 11

Soft:
PropellerAds, Android, Discord, WhatsApp, Gmail, Chrome

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Triada - это троян для Android, впервые обнаруженный в 2016 году, известный своими модульными возможностями бэкдора и руткита, которые предоставляют злоумышленникам привилегированный доступ. Он распространяется через модифицированные приложения, такие как FMWhatsApp и YoWhatsApp, а также предустанавливается на поддельные устройства. Базирующийся в Турции злоумышленник на протяжении многих лет развивал тактику от обхода процедур KYC до компрометации проверенных аккаунтов рекламодателей и использования предустановленных программ фишинга, замаскированных под обновления Chrome, и теперь размещает Вредоносные файлы на GitHub.
-----

Triada - это троян для Android, впервые обнаруженный в 2016 году, отличающийся модульным бэкдором и возможностями руткита, которые предоставляют злоумышленникам привилегированный доступ к скомпрометированным устройствам. Основные методы распространения Triada включают модифицированные приложения, такие как FMWhatsApp и YoWhatsApp. Эти неофициальные версии часто продвигаются с помощью платной рекламы и Социальных сетей, заманивая пользователей обещаниями расширенных функциональных возможностей. В дополнение к зараженным приложениям, также была обнаружена Triada, предустановленная на поддельных устройствах и активирующаяся при первой загрузке.

Как только устройство находится под угрозой, Triada может осуществлять различные рекламные обзоры техники и схемы манипуляций трафика. С 2020 года, один особенно организованной злоумышленник, предположительно в Турции, был замечен работающим зарегистрировать рекламодателя счетов, которые действуют как каналы доставки для Triada. Первое столкновение с Triada было отмечено в августе 2020 года, когда была обнаружена необычная активность среди группы рекламодателей, утверждающих, что они из Турции.

За прошедшие годы тактика этих злоумышленников значительно эволюционировала. В первой волне (2020-2021 годы) они использовали сомнительные методы для обхода процедур "Знай своего клиента" (KYC). Однако на втором этапе (2022-2024 годы) они перешли к более стратегическому подходу, скомпрометировав установленные, проверенные аккаунты рекламодателей для распространения вредоносного ПО. Эта новая тактика позволила им перенаправлять трафик через доверенные домены и использовать методы cloaking, чтобы избежать обнаружения.

Последняя разработка в эволюции Triada (до 2025 года и далее) предполагает использование предустановленных программ для фишинга, замаскированных под обновления браузера Chrome. Вредоносные файлы, связанные с этой итерацией, размещены на GitHub, что указывает на повышение сложности и адаптацию тактики для использования надежных платформ.

#ParsedReport #CompletenessMedium
09-12-2025

JS#SMUGGLER: Multi-Stage - Hidden iframes, Obfuscated JavaScript, Silent Redirectors & NetSupport RAT Delivery

https://www.securonix.com/blog/jssmuggler-multi-stage-hidden-iframes-obfuscated-javascript-silent-redirectors-netsupport-rat-delivery/

Report completeness: Medium

Threats:
Js-smuggler
Netsupportmanager_rat
Lolbas_technique

Victims:
Enterprise users

TTPs:
Tactics: 7
Technics: 13

IOCs:
File: 22
Url: 4
Domain: 9
Command: 1
Path: 1
IP: 9
Hash: 11

Soft:
Android, Node.js, Windows ActiveX, Windows security, Windows Defender, Windows Powershell

Algorithms:
aes, gzip, aes-256-ecb, base64, sha256, zip

Functions:
_0x19d1, DOM, createScript, _0x4eba19, generateRandomString, checkLastVisit, setTimeout

Languages:
javascript, powershell, jscript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Описанная Вредоносная Кампания включает в себя многоэтапную операцию, направленную на скрытность и закрепление. Она начинается с кода JavaScript загрузчик запутанным со взломанных сайтов, использованием профилирования устройства и тонкие отслеживания. Нападение прогрессирует через приложение HTML, который работает в скрытом режиме для выполнения зашифрованной PowerShell стагер, в конечном счете, приводит к установке NetSupport Троян удаленного доступа (RAT) за самовольное управления, с методами выделения стратегии уклонения и закрепление постоянства.
-----

Вредоносная Кампания, проанализированная Securonix Threat Research, представляет собой сложную многоэтапную операцию, в которой используются передовые тактики для достижения скрытого и постоянного контроля над системами-жертвами. Атака разворачивается в три ключевых этапа, начиная с сильно запутанного загрузчика JavaScript, который внедряется на скомпрометированные веб-сайты. Этот загрузчик, извлекаемый по определенному URL-адресу, использует комбинацию сопоставления числовых индексов и динамического поворота массива, чтобы скрыть свое истинное назначение. Он включает стратегии профилирования устройств, позволяющие решить, следует ли внедрять полноэкранный iframe для мобильных устройств или загружать дополнительный удаленный скрипт для пользователей настольных компьютеров. Тонкие механизмы отслеживания гарантируют, что вредоносная логика выполняется только один раз для каждого пользователя, что повышает ее скрытность.

На втором этапе злоумышленник использует HTML-приложение (HTA), доставляемое по динамически генерируемому URL-адресу. Использование законного компонента Windows mshta.exe , HTA выполняется полностью скрытым от пользователя. Он записывает зашифрованный этап PowerShell на диск и после выполнения расшифровывает его, используя комплексную схему AES-256-ECB, применяемую со сжатием Base64 и GZIP. Полезная нагрузка запускается в памяти, а затем удаляет свои временные файлы, чтобы свести к минимуму криминалистическое обнаружение.

Заключительный этап состоит из полностью расшифрованной полезной нагрузки PowerShell, которая загружает и устанавливает троян удаленного доступа NetSupport (RAT). После выполнения эта полезная нагрузка извлекает ZIP-файл из инфраструктуры злоумышленника, извлекает его и запускает клиентский исполняемый файл через скрытую оболочку JScript. Чтобы обеспечить закрепление, скрипт создает замаскированный ярлык в папке автозагрузки, облегчающий автоматическое выполнение при входе пользователя в систему.

NetSupport, предназначенный для законного удаленного администрирования, был перепрофилирован злоумышленниками для несанкционированного контроля, который в обсуждениях threat intelligence называется NetSupport RAT. Кампания нацелена на обычных корпоративных пользователей, а не на конкретные отрасли, используя скомпрометированные веб-сайты и тихие перенаправления. Хотя операция демонстрирует современные методы, такие как запутывание и уклончивое выполнение, в настоящее время недостаточно доказательств, чтобы связать ее с каким-либо конкретным злоумышленником или нацией.

Используя фреймворк MITRE ATT&CK, эта кампания использует такие тактики, как "компромиссы по принципу "Теневой (drive-by) компрометации, выполнение JavaScript, злоупотребление подписанными двоичными файлами, такими как mshta.exe , и различные методы закрепления с помощью методов папки автозагрузки. Методы направлены на уклонение от обнаружения с помощью запутанных полезных нагрузок и Отражающей загрузки кода, демонстрируя сложный подход к атакам удаленного доступа.

#ParsedReport #CompletenessMedium
09-12-2025

Makop ransomware: GuLoader and privilege escalation in attacks against Indian businesses

https://www.acronis.com/en/tru/posts/makop-ransomware-guloader-and-privilege-escalation-in-attacks-against-indian-businesses/

Report completeness: Medium

Threats:
Makop
Cloudeye
Phobos
Mimikatz_tool
Agent_tesla
Formbook
Loki_bot
Credential_dumping_technique
Vmprotect_tool
Nlbrute_tool
Password_spray_technique
Netscan_tool
Advanced-port-scanner_tool
Masscan_tool
Defendercontrol_tool
Byovd_technique
Medusalocker
Akira_ransomware
Qilin_ransomware
Process_hacker_tool
Lazagne_tool
Netpass_tool
Ransomhub
Blackbasta
Rhysida
Av-killer

Victims:
Businesses

Geo:
Indian, Brazil, Germany, India

CVEs:
CVE-2022-24521 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.19265)
- microsoft windows_10_1607 (<10.0.14393.5066)
- microsoft windows_10_1809 (le10.0.17763.2803)
- microsoft windows_10_1909 (<10.0.18363.2212)
- microsoft windows_10_20h2 (<10.0.19042.1645)
have more...
CVE-2019-1388 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (-)
- microsoft windows_10_1607 (-)
- microsoft windows_10_1709 (-)
- microsoft windows_10_1803 (-)
- microsoft windows_10_1809 (-)
have more...
CVE-2025-7771 [Vulners]
CVSS V3.1: 8.7,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2020-0796 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1903 (-)
- microsoft windows_10_1909 (-)
- microsoft windows_server_1903 (-)
- microsoft windows_server_1909 (-)

CVE-2020-0787 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (-)
- microsoft windows_10_1607 (-)
- microsoft windows_10_1709 (-)
- microsoft windows_10_1803 (-)
- microsoft windows_10_1809 (-)
have more...
CVE-2016-0099 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (-)
- microsoft windows_10_1511 (-)
- microsoft windows_7 (-)
- microsoft windows_8.1 (-)
- microsoft windows_server_2008 (-, r2)
have more...
CVE-2017-0213 [Vulners]
CVSS V3.1: 7.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (-)
- microsoft windows_10_1511 (-)
- microsoft windows_10_1607 (-)
- microsoft windows_10_1703 (-)
- microsoft windows_7 (-)
have more...
CVE-2018-8639 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (-)
- microsoft windows_10_1607 (-)
- microsoft windows_10_1703 (-)
- microsoft windows_10_1709 (-)
- microsoft windows_10_1803 (-)
have more...
CVE-2020-1066 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft .net_framework (3.0)

CVE-2021-41379 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.19119)
- microsoft windows_10_1607 (<10.0.14393.4770)
- microsoft windows_10_1809 (<10.0.17763.2300)
- microsoft windows_10_1909 (<10.0.18363.1916)
- microsoft windows_10_2004 (<10.0.19041.1348)
have more...

TTPs:
Tactics: 7
Technics: 0

IOCs:
Path: 4
File: 13
Hash: 68

Soft:
Windows Defender, Microsoft Defender, ThrottleStop, Local Security Authority, twitter

Win Services:
BITS

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 8, dump: 1, code: 2, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4