#ParsedReport #CompletenessMedium
18-12-2025

HubSpot users targeted by active phishing campaign

https://evalian.co.uk/phishing-campaign-targets-hubspot-users/

Report completeness: Medium

Threats:
Bec_technique
Spear-phishing_technique

Victims:
Hubspot customers

Industry:
Telco

Geo:
Russian, Russia

TTPs:

ChatGPT TTPs:
do not use without manual check
T1071.001, T1190, T1556.003, T1566.002, T1583.001, T1584.004

IOCs:
Url: 2
File: 1
IP: 1

Soft:
HubSpot, Plesk, SendGrid, Salesforce

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания фишинга, нацеленная на клиентов HubSpot, использует методы компрометации деловой электронной почты и веб-сайтов, при этом электронные письма маскируются под законные. Поддельные электронные письма перенаправляют пользователей на страницу входа credential-stealing, напоминающую настоящий портал HubSpot, размещенный на взломанном сайте. Кампания использует доверенных платформ электронной почты, чтобы обойти фильтры безопасности, иллюстрирующие уязвимости традиционных методов проверки подлинности электронной почты и подчеркивает необходимость более точного обнаружения таких новых угроз.
-----

Была выявлена активная кампания фишинга, нацеленная на клиентов HubSpot с помощью комбинации методов компрометации деловой электронной почты (BEC) и веб-сайтов. В кампании используется сложный механизм credential stealing, при котором поддельное электронное письмо призывает получателей войти в свои учетные записи HubSpot под предлогом проверки маркетинговых кампаний из-за предполагаемого увеличения числа отказов от подписки. Примечательно, что URL-адреса, содержащиеся в электронном письме, кажутся законными, в то время как злоумышленник умело маскирует URL-адрес для фишинга в отображаемом имени отправителя, что часто упускается из виду средствами контроля безопасности электронной почты.

При дальнейшем расследовании было обнаружено, что вредоносный URL-адрес ведет на скомпрометированный законный веб-сайт (canvthis.com ), перенаправляя пользователей на страницу credential stealing, размещенную по адресу hxxps://hubspot-campaigns.com/login. Эта страница входа в систему разработана таким образом, чтобы максимально походить на подлинный портал HubSpot, что повышает вероятность того, что ничего не подозревающие пользователи станут жертвами этой схемы. Дополнительный анализ IP-адреса 193.143.1.220 выявил его связь с инфраструктурой фишинга, расположенной в Санкт-Петербурге, Россия, и принадлежащей автономной системе, часто связанной со спамом и действиями по фишингу.

Кампания демонстрирует продвинутый уровень обмана, эффективно обойти традиционные меры защиты электронной почты. Злоумышленники использовали авторитетные электронной почты платформах, таких как журнал, чтобы доставить подлинности письма, в котором удачно обойти спам-фильтры и достиг почтовые ящики пользователей. Этот метод подчеркивает неадекватность использования исключительно механизмов аутентификации по электронной почте, таких как SPF, DKIM и DMARC, поскольку злоумышленники использовали доверие, связанное с установленными доменами, для своих злонамеренных намерений.

Следовательно, операционным центрам безопасности необходимо учитывать эволюционирующие стратегии, применяемые киберпреступниками, которые все чаще используют надежные сторонние почтовые сервисы. Поскольку эта тенденция становится все более выраженной, организации должны усилить свои защитные меры, обеспечив наличие возможностей обнаружения для выявления попыток фишинга, использующих надежные почтовые платформы, и реагирования на них. Потенциальная возможность усиления таргетинга означает, что требуется бдительность, поскольку другие клиенты также могут подвергнуться риску стать жертвами аналогичной тактики фишинга в будущем.

#ParsedReport #CompletenessMedium
16-12-2025

EtherRAT dissected: How a React2Shell implant delivers 5 payloads through blockchain C2

https://www.sysdig.com/blog/etherrat-dissected-how-a-react2shell-implant-delivers-5-payloads-through-blockchain-c2

Report completeness: Medium

Actors/Campaigns:
Darkleech
Contagious_interview

Threats:
Etherrat
React2shell_vuln
Credential_harvesting_technique
Shai-hulud

Victims:
Next.js servers, React server components users, Web servers, Cloud services users, Infrastructure administrators

Industry:
Financial, E-commerce

Geo:
Tajikistan, Uzbekistan, Georgian, Kyrgyzstan, Kazakhstan, Korea, Belarus, Azerbaijan, Dprk, China, Russia, Armenia, Georgia, Belarusian, Russian, North korean, Azerbaijani

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)


TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 38
Coin: 3
Url: 5
IP: 4
Path: 3

Soft:
Node.js, Systemd, Microsoft Defender, Active Directory, Linux, SendGrid, Slack, OpenAI, Docker, HashiCorp Vault, have more...

Wallets:
metamask, exodus_wallet, electrum

Crypto:
ethereum, bitcoin

Algorithms:
sha256, base64, aes-256-cbc

Functions:
getDomainInfo, getHWID, getPublicIP

Win Services:
bits

Languages:
python, powershell, javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
EtherRAT, потенциально связанный с северокорейскими акторами, использует уязвимость React2Shell (CVE-2025-55182) для своих атак без файлов, используя Node.js чтобы избежать взаимодействия с диском. Он включает в себя командную и контрольную связь посредством блокчейн-транзакций, создавая постоянный судебно-медицинский след и позволяя проводить сложную разведку и кражу учетных данных, в том числе нацеливаясь на начальные фразы криптовалютного кошелька. EtherRAT также оснащен самораспространяющимся червячным модулем для перемещения внутри компании, возможностью перехвата веб-сервера для перенаправления трафика и постоянным SSH-бэкдором для восстановления доступа.
-----

Вредоносное ПО EtherRAT, потенциально связанное с северокорейскими злоумышленниками, использует уязвимость React2Shell (CVE-2025-55182) для выполнения многогранных атак. Развернутый с помощью скомпрометированного Next.js применение 5 декабря 2025 года EtherRAT работает как имплантат без опилок, используя Node.js , гарантируя таким образом, что его полезная нагрузка не взаимодействует с диском, что характерно для вредоносного ПО без файлов. Имплантат интегрирует коммуникации командования и контроля (C2) в блокчейн-транзакции, что делает его деятельность законной, предоставляя исследователям неизменяемую запись в Ethereum.

Каждый URL-адрес C2 документируется с точными временными метками и хэшами транзакций, создавая постоянный судебно-медицинский след. Первоначальное развертывание по контракту было выполнено вскоре после публичного раскрытия уязвимости, что указывает на то, что злоумышленники заранее подготовили свою стратегию использования. Работа EtherRAT's включает в себя переключение между несколькими серверами C2, что подчеркивает его адаптивный подход к поддержанию постоянного подключения.

Возможности вредоносного ПО распространяются на обширную разведку и кражу учетных данных. Он собирает различную системную информацию, проверяя наличие членства в домене Active Directory и пользовательских привилегий, а также идентифицируя продукты безопасности, позволяющие избежать обнаружения. Сборщик учетных данных особенно сложен, ориентируясь на начальные фразы криптовалютного кошелька и другие конфиденциальные данные с использованием расширенных методов поиска. Эксфильтрация собранных данных осуществляется по тем же каналам C2, установленным злоумышленниками.

Самораспространяющийся модуль-червь преобразует функциональность EtherRAT, сканируя Интернет в поисках дополнительных уязвимых серверов и пытаясь использовать их с помощью той же уязвимости, которая инициировала внедрение. Поведение этого червя включает в себя перемещение внутри компании в пределах частных IP—адресов — необычная тактика для типичных интернет-червей, позволяющая ему эффективно компрометировать внутренние сети.

Вредоносное ПО также включает механизм захвата веб-сервера, который изменяет конфигурации серверов nginx и Apache для перенаправления трафика на xss.pro , известный форум по борьбе с киберпреступностью. Эта функциональность подчеркивает способность EtherRAT's монетизировать скомпрометированную инфраструктуру путем перехвата веб-трафика, а не просто кражи данных. Кроме того, простой SSH-бэкдор обеспечивает постоянный доступ, позволяя злоумышленнику восстановить плацдарм независимо от инфраструктуры C2.

Таким образом, EtherRAT является примером сочетания технологий блокирования вредоносного ПО, которые способны выполнять разведку, сбор учетных записей, перемещение внутри компании, перехват веб-трафика и закрепление, демонстрируя растущую изощренность хакерских группировок в использовании уязвимостей для получения злонамеренной выгоды.

#ParsedReport #CompletenessMedium
17-12-2025

There's Payloads, And Then There's pAIloads: A Look At Selected Opportunistic (And Possibly AI-"Enhanced") React2Shell Probes and Attacks

https://www.greynoise.io/blog/react2shell-payload-analysis

Report completeness: Medium

Threats:
React2shell_vuln
Mirai
Bashlite

Victims:
Web application servers

Industry:
Iot

Geo:
Spanish, Brazil

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1057, T1059.007, T1105, T1190, T1204.002, T1210

IOCs:
File: 4
Url: 2
IP: 1

Soft:
Node.js, Alpine, Linux, Slack, curl, macOS, Claude, polyfill, Alpine Linux, busybox, have more...

Algorithms:
md5, base64, exhibit

Functions:
getuid

Languages:
javascript

Platforms:
mpsl, cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавний анализ полезных нагрузок React2Shell указывает на сочетание человеческого мастерства и влияния искусственного интеллекта при разработке вредоносного ПО, причем одна полезная нагрузка демонстрирует расширенные функции, типичные для опытных операторов Linux. Однако в нем были обнаружены недостатки, вызванные искусственным интеллектом, такие как неправильные форматы строк JavaScript, которые препятствовали его функциональности. Предполагается, что код был создан исследователем с целью продемонстрировать возможность Удаленного Выполнения Кода без причинения вреда, подчеркивая сохраняющуюся зависимость человеческого опыта в разработке киберугроз от результатов, генерируемых искусственным интеллектом.
-----

Недавний анализ более 50 000 уникальных полезных нагрузок React2Shell выявил заметные закономерности в их создании и выполнении, особенно подчеркнув потенциальное пересечение человеческого мастерства и Искусственного интеллекта при разработке вредоносного ПО. Одна конкретная полезная нагрузка выделялась своей сложностью и изощренностью, свидетельствующей об опытном операторе Linux-вредоносного ПО, а не о более общих результатах, ожидаемых от кода, сгенерированного искусственным интеллектом. Это говорит о том, что полезная нагрузка эволюционировала в результате органичной разработки, включающей различные методы, отточенные на опыте.

Интересно, что полезная нагрузка, по-видимому, представляет собой гибрид человеческой изобретательности и ошибок, вызванных искусственным интеллектом. В частности, в то время как основные элементы демонстрируют глубокое понимание развертывания вредоносного ПО, механизм доставки обладает характеристиками, которые предполагают, что он, возможно, был создан с использованием инструментов искусственного интеллекта, что привело к ошибочным результатам. Такие недостатки включали использование строк JavaScript в одинарных кавычках, которые не могут содержать буквальные переводы строк, что серьезно затрудняло функционирование полезной нагрузки, делая ее неэффективной в попытках использовать целевые объекты.

Расследование также предположило, что этот конкретный код, скорее всего, был создан исследователем безопасности или охотником за ошибками. Цель состояла в том, чтобы продемонстрировать значительное воздействие Удаленного Выполнения Кода (RCE) безопасным способом, используя доступные методы проверки концепции, не нанося вреда системам жертвы. Этот подход включал в себя использование Next.js обработка ошибок, позволяющая получать неразрушающую обратную связь, которая служит "доказательством скриншота" для целей отчетности о вознаграждении, не ставя под угрозу целостность сервера и не оставляя отслеживаемого вредоносного ПО.

Несмотря на спекулятивные рассказы о роли ИИ в киберугрозах, в анализе делается вывод о том, что ИИ еще не получил значительного распространения в разработке оппортунистических атак с первоначальным доступом, особенно в том, что касается создания эффективных полезных нагрузок. Подавляющее большинство наблюдаемых полезных нагрузок было приписано создателям-людям, использующим традиционные методы разработки, интегрирующим установленные шаблонные движки и хорошо документированные методы, что еще раз подчеркивает сохраняющееся доминирование человеческого опыта в разработке киберугроз.

#ParsedReport #CompletenessLow
21-12-2025

Christmas Tycoon

https://intelinsights.substack.com/p/christmas-tycoon

Report completeness: Low

Threats:
Credential_harvesting_technique
Tycoon_2fa

Industry:
Financial, Energy, Healthcare

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1056.003, T1071.001, T1204, T1204.001, T1566.002, T1583.001, T1593.003, T1596.001

IOCs:
Url: 3
Domain: 1882
File: 16
Hash: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В кампании фишинга было задействовано более 1900 доменов, инициированной со взломанной учетной записи с помощью электронных писем, содержащих URL-адрес, который обходит систему безопасности с помощью защищенных ссылок электронной почты Cisco. Набор для фишинга Tycoon перенаправлял пользователей на чат-бота с искусственным интеллектом при неправильном доступе, позволяя использовать уникальные цифровые отпечатки пальцев для отслеживания связанных доменов. Расследование выявило 418 уникальных доменов для фишинга, основанных на различных HTML-заголовках, в то время как повторяющиеся хэши заголовков указывали на более крупную сеть из более чем 850 вредоносных доменов, что указывает на скоординированный и адаптивный фишинг.
-----

Расследование было сосредоточено вокруг кампании фишинга с использованием более 1900 доменов, инициированной со взломанной учетной записи, которая отправила электронное письмо с фишингов -адресом, содержащим URL-адрес, предназначенный для использования защищенных ссылок электронной почты Cisco для обхода мер безопасности. Набор для фишинга, называемый набором для фишинга Tycoon, использует тактику, которая перенаправляет пользователей на чат-бота с искусственным интеллектом при доступе без соответствующего идентификатора перенаправления, позволяя получить отличительный цифровой отпечаток пальца, который помогает в обнаружении дополнительных связанных доменов и инфраструктуры.

Благодаря методическому подходу анализ повлек за собой удаление поддоменов и дубликатов из первоначального списка доменов, в результате чего было идентифицировано 418 уникальных доменов для фишинга. Эти домены характеризовались наличием отличных HTML-заголовков, что облегчало категоризацию кампаний по фишингу. Эта тактика упрощает идентификацию связанных доменов при анализе масштабов кампании.

Дальнейшее исследование включало изучение повторяющихся хэшей заголовков, присутствующих в различных доменах, что обеспечило доступ к еще одному значительному пулу вредоносных доменов, в общей сложности превышающему 850. Неоднократное появление таких хэшей заголовков указывало на систематические усилия в деятельности организации, связывающие многочисленные попытки фишинга в рамках единой стратегии.

Анализ завершился замечаниями, сделанными при повторном просмотре исходного URL-адреса credential-harvesting, который перенаправлял на один из общих шаблонов, связанных с кампанией. Это наблюдение предполагает, что фишеры активируют эти универсальные целевые страницы, когда их основные усилия по фишингу либо неактивны, либо временно приостановлены, что указывает на уровень оперативной безопасности и адаптивности, присущий кампании.

#ParsedReport #CompletenessLow
18-12-2025

Scripted Sparrow: A Prolific BEC Threat Group

https://www.fortra.com/resources/guides/scripted-sparrow-prolific-bec-threat-group

Report completeness: Low

Actors/Campaigns:
Scripted_sparrow

Threats:
Bec_technique

Victims:
Financial services, Organizations using email, Accounts payable departments

Industry:
Financial

Geo:
San francisco, Canada, South africa, America, American, Nigeria

ChatGPT TTPs:
do not use without manual check
T1199, T1583.001, T1585.002, T1586.002, T1656

IOCs:
Domain: 133
Email: 494

Soft:
Telegram

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
По сценарию Sparrow является вновь выявленных бизнес-email компромисс (BEC) группа, известная за счет использования средств автоматизации распространение фишинг-сообщения, при этом значительное повышение активности отмечается с июня 2024. Они используют такие приемы, как, используя скомпрометированные легитимные учетные записи и различные домены электронной почты, в то время как их операции координируются через Telegram, демонстрируя децентрализованной сети участников совместного использования технологий и инфраструктуры. Развиваются методы этой группы имеют более персонализированные фишинг коммуникаций, предназначенных для повышения их эффективности обман, представляющей повышенную опасность для потенциальных мишеней.
-----

Scripted Sparrow - это развивающаяся группа по компрометации деловой электронной почты (BEC), признанная за обширные операции на нескольких континентах, что предполагает сильную зависимость от автоматизации при создании и распространении фишингов -сообщений. Созданная в июне 2024 года, группа продемонстрировала заметный рост своей деятельности, достигнув пика с 496 зарегистрированными контрактами к сентябрю 2025 года. Первоначальные наблюдения показывают, что Scripted Sparrow использует различные тактики, включая использование как бесплатной веб-почты, так и пользовательских доменных Адресов эл. почты для своих атак. Имеются также признаки взлома учетных записей законных организаций, что расширяет их возможности по проведению нацеленного фишинга.

Активные меры защиты от скриптового Sparrow и глубокое расследование команды позволили получить представление об их инфраструктуре. Направляя злоумышленников по определенным URL-адресам, аналитики могли бы собирать IP-адреса и данные пользовательских агентов, эффективно создавая основу для отслеживания акторов в различных ситуациях. Это участие было дополнено методами социальной инженерии, которые позволили акторам раскрыть точные данные о геолокации, несмотря на потенциальное запутывание с помощью VPN. Тем не менее, потенциал географической подмены остается значительным, учитывая доступность различных браузерных плагинов и инструментов для конечных пользователей.

Кроме того, общение внутри группы было связано с платформой Telegram, что было выявлено путем анализа строк их пользовательских агентов. Этот метод подчеркивает их стремление поддерживать оперативную безопасность при одновременном облегчении внутренних коммуникаций. Сетевая структура Scripted Sparrow выглядит децентрализованной и включает в себя различных мошенников, которые действуют по общей схеме, иллюстрируемой общими отпечатками пальцев браузера и финансовыми взаимодействиями.

Группа развивает свою тактику с течением времени; первоначальные сообщения характеризуется общих приветствий перешли к более персонализированным форматы, с подробным взаимодействий перед участием финансовых контактов, тем самым повышая вероятность успешного обмана. Эти изысканные точка подходов к разработке по своей изощренности BEC кампаний и угрожать организаций, которые могут стать жертвой таких нацелен попытки мошенничества. В целом, сведения, собранные в ходе анализа сценариев Sparrow моменты организованной, гибкой злоумышленник эксплуатирует как технологические, так и социальные элементы в своей деятельности.

#ParsedReport #CompletenessMedium
16-12-2025

Inside GhostPoster: How a PNG Icon Infected 50,000 Firefox Users

https://www.koi.ai/blog/inside-ghostposter-how-a-png-icon-infected-50-000-firefox-browser-users

Report completeness: Medium

Threats:
Ghostposter
Steganography_technique

Victims:
Firefox users, Ecommerce affiliate programs

Industry:
E-commerce, Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.003, T1036, T1059, T1059.007, T1071.001, T1102, T1102.003, T1104, T1105, have more...

IOCs:
File: 1
Domain: 3
Url: 2

Soft:
Firefox, ChatGPT, Claude

Algorithms:
xor, base64

Functions:
eval

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GhostPoster вредоносное ПО целевые пользователи Firefox через вредоносные расширения браузера, бесплатный VPN Навсегда, которая служит загрузчик для загрузки фактический вредоносное ПО грузоподъемностью от управление сервером. После запуска он перехватывает партнерские ссылки на основных платформах электронной коммерции, перехватывая комиссионные, одновременно вводя код отслеживания для сбора пользовательских данных и используя методы обхода защиты от CAPTCHA. Кампания иллюстрирует тенденцию вредоносных бесплатных VPN расширений эксплуатируя уязвимости, затрагивающие около 50 000 пользователей.
-----

Вредоносная Кампания GhostPoster нацелена на пользователей Firefox с помощью серии обманчивых тактик, которые используют кажущиеся безобидными расширения браузера, в частности одно под названием Free VPN Forever. Начальный этап включает в себя загрузку расширением файла своего логотипа, который вместо этого содержит вредоносный загрузчик. Этот загрузчик предназначен для извлечения фактической полезной нагрузки вредоносного ПО с сервера управления (C&C). Сама полезная нагрузка скрыта, используя пользовательскую схему кодирования, чтобы избежать обнаружения во время передачи.

После расшифровки и выполнения полезная нагрузка превращает браузер в инструмент для монетизации активности пользователей без их согласия. Вредоносное ПО специально перехватывает партнерские ссылки на крупных платформах электронной коммерции, таких как Taobao и JD.com . Когда пользователи переходят по этим ссылкам, вредоносное ПО перехватывает трафик, эффективно отбирая любые комиссионные, предназначенные для законных партнеров, и перенаправляя их злоумышленникам.

Более того, GhostPoster вводит код отслеживания Google Analytics на каждую посещенную веб-страницу, собирая подробную информацию о привычках пользователя в интернете и продолжительности заражения. Он удаляет заголовки безопасности из HTTP-ответов, еще больше нарушая целостность сайта, и использует множество методов для обхода защиты с помощью CAPTCHA. Это включает в себя имитацию пользовательских взаимодействий и использование внешних ресурсов для распознавания капчи.

Вредоносное ПО также внедряет скрытые iframe-файлы из доменов, контролируемых злоумышленниками, что позволяет широко использовать мошенничество с рекламой и кликами, сохраняя видимость нормальной работы браузеров пользователей. Примечательно, что платформа, лежащая в основе GhostPoster, не уникальна; были выявлены аналогичные кампании вредоносных расширений, связанные с этой инфраструктурой атаки, которая включает в себя по меньшей мере 16 других расширений, использующих те же серверы C&C.

Этот инцидент подчеркивает повторяющуюся тенденцию, когда бесплатные расширения VPN становятся вредоносными, предлагая план будущих угроз. Используемые методы уклонения, такие как Стеганография для сокрытия полезной нагрузки и сложные механизмы отслеживания, отражают растущую оперативную изощренность злоумышленников. Уязвимости, присущие расширениям браузера, были использованы для содействия значительному нарушению, воздействие на которое оказало около 50 000 пользователей, скачавших скомпрометированное программное обеспечение, которое остается доступным на рынке дополнений Firefox.

#ParsedReport #CompletenessMedium
18-12-2025

ResidentBat: A new spyware family used by Belarusian KGB

https://rsf.org/sites/default/files/medias/file/2025/12/report1.pdf

Report completeness: Medium

Threats:
Residentbat
Novispy
Massistant_tool
Monokle
Screen_shotting_technique

Victims:
Journalists, Lawyers, Civil society

Geo:
Belarusian, Belarussian, Switzerland, Belarus

ChatGPT TTPs:
do not use without manual check
T1036.005, T1071.001, T1078, T1105, T1123, T1204.002

IOCs:
File: 14
Hash: 10
Url: 6
IP: 25
Domain: 2

Soft:
Android, android.chrome, instagram.android, viber, whatsapp, firefox, telegram, zoom, Google Play, Chrome, have more...

Algorithms:
sha256

Functions:
removeActiveAdmin

Platforms:
apple