#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Инцидент с программой-вымогателем Weaxor подчеркивает использование уязвимости React2Shell (CVE-2025-55182) в серверных компонентах React и Next.js , позволяющий злоумышленникам выполнять произвольный код с помощью вредоносных HTTP-запросов. Злоумышленники быстро перешли от шпионажа к внедрению программ-вымогателей, используя запутанную команду PowerShell и Cobalt Strike для управления. Индикаторы компрометации, связанные с атакой, такие как хэши SHA-1 и IP-адреса C2, подчеркивают необходимость проявлять бдительность в отношении быстрого использования после раскрытия уязвимостей.
-----

Инцидент, связанный с развертыванием программы-вымогателя Weaxor, свидетельствует об использовании уязвимости React2Shell (CVE-2025-55182). Эта критическая уязвимость затрагивает серверные компоненты React и программное обеспечение с открытым исходным кодом Next.js рамки. Это позволяет злоумышленнику отправлять вредоносные HTTP-запросы, которые могут выполнять произвольный код на сервере, тем самым получая привилегированный доступ к системе, в которой запущен веб-сервер.

После публичного раскрытия уязвимости React2Shell 3 декабря 2025 года злоумышленники, включая акторов национальных государств, в течение нескольких часов начали поиск возможностей для использования. В то время как некоторые были сосредоточены на шпионаже путем установки постоянных бэкдоров, финансово мотивированные акторы быстро переключили свое внимание на внедрение Ransomware. Штамм программы-вымогателя Weaxor, ребрендинг ранее известной программы-вымогателя Mallox, был идентифицирован как полезная нагрузка, использованная в этом инциденте.

Цепочка атак началась с компрометации корпоративной сети 5 декабря 2025 года. Запутанная команда PowerShell была выполнена злоумышленником, установившим командование и контроль с помощью загрузки программы Cobalt Strike PowerShell stager. После этого злоумышленник отключил защиту антивируса Windows Defender в режиме реального времени, чтобы облегчить дальнейшие действия, указывая на подготовку к дополнительным полезным нагрузкам.

Были выявлены признаки компрометации, связанные с использованием React2Shell, включая появление cmd.exe и powershell.exe процессы, исходящие от законного Node.js исполняемый файл, node.exe . Этот анализ указывает на высокую вероятность того, что предыдущие действия по обнаружению были замаскированы из-за очистки журналов событий, совпадающей с развертыванием программы-вымогателя.

Кроме того, были задокументированы конкретные показатели, включая определенные хэши SHA-1 и связанные с ними IP-адреса командования и контроля (C2), использованные во время атаки Weaxor. Наличие этих показателей служит для правозащитников важнейшим доказательством для мониторинга и потенциального смягчения подобных попыток эксплуатации в будущем. Быстрый переход от раскрытия уязвимостей к внедрению программ-вымогателей подчеркивает настоятельную необходимость для организаций усилить свою защиту от вновь выявленных уязвимостей и автоматизировать меры обнаружения и реагирования.

#ParsedReport #CompletenessLow
16-12-2025

Meet Cellik - A New Android RAT With Play Store Integration

https://iverify.io/blog/meet-cellik---a-new-android-rat-with-play-store-integration

Report completeness: Low

Threats:
Cellik
Hyperrat
Phantomos
Nebula

Victims:
Mobile users

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1036, T1204, T1513, T1516, T1566

Soft:
Android, Google Play, Gmail

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Cellik - это недавно идентифицированный троян для удаленного доступа к Android (RAT), который позволяет злоумышленникам осуществлять полный контроль над зараженными устройствами, включая такие функции, как потоковая передача экрана в режиме реального времени и манипулирование пользовательским интерфейсом. Его скрытые возможности браузера создает дополнительные риски за счет облегчения фишинг и других веб нарушений. Интеграция с Google магазин игры позволяет злоумышленникам создавать обманчивое APK-файлы, которые выглядят законными, представляющих тревожная тенденция, когда вредоносное ПО-а-а-сервис, который демократизирует доступ к самым современным мобильным шпионов для низкоквалифицированных актеров.
-----

Cellik является вновь открывшимся для Android троян удаленного доступа (RAT), что создает значительные проблемы безопасности вследствие своей полной функции управления устройствами и интеграцию с Google играть магазин. После установки, Cellik обеспечивает оператору полный контроль над зараженным устройством, в том числе и потоковая передача в реальном времени экрана и возможность удаленно управлять пользовательским интерфейсом. Это эффективно позволяет злоумышленнику получить контроль над деятельностью жертвы в реальном времени при имитации пользовательского ввода, как если бы они были физически взаимодействуя с телефона.

Важной особенностью Cellik является его скрытая функция браузера, которая облегчает активное использование веб-ресурсов и попытки фишинга непосредственно с зараженного устройства. Он запускает невидимый браузер, который может быть использован для различных вредоносных действий, повышая риск для жертв.

Более того, особую тревогу вызывает интеграция Cellik с Google Play Store. Он включает в себя автоматизированный конструктор APK, который позволяет злоумышленникам выбирать законные приложения из Play Store и упаковывать их с полезной нагрузкой Cellik. Эта функция позволяет создавать вредоносные APK-файлы, которые выглядят как подлинные приложения, что затрудняет жертвам идентификацию скрытого внутри вредоносного ПО. Простота создания этих вредоносных приложений значительно расширяет возможности распространения RAT.

Cellik представляет собой относительно тренда в вредоносное вредоносное ПО Андроид, который характеризуется ростом вредоносное ПО-как-услуга (Маас) платформ. Такие сервисы позволить даже низкоквалифицированный злоумышленникам проводить мобильного шпионских операций с минимальными техническими знаниями. Этот сдвиг показывает, что сложные киберугрозы становятся все более доступными для широкого круга злоумышленниками, тем самым эскалации общий ландшафт угроз мобильной безопасности.

#ParsedReport #CompletenessHigh
19-12-2025

APT36 LNK-BASED MALWARE CAMPAIGN LEVERAGING MSI PAYLOAD DELIVERY

https://www.cyfirma.com/research/apt36-lnk-based-malware-campaign-leveraging-msi-payload-delivery/

Report completeness: High

Actors/Campaigns:
Transparenttribe (motivation: cyber_espionage)

Threats:
Dll_hijacking_technique
Spear-phishing_technique

Victims:
Government organizations

Industry:
Government

TTPs:
Tactics: 10
Technics: 16

IOCs:
File: 5
Command: 1
Path: 3
Domain: 2
Url: 1
Hash: 5

Soft:
WhatsApp

Algorithms:
sha256, base64

Functions:
PDfiums, DllOrigias, dropHijackDll, ExeDrips, Pensisting

Languages:
powershell

Platforms:
x86

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-36 проводит нацеленную Вредоносную Кампанию, используя тактику социальной инженерии для компрометации систем Windows, в первую очередь с помощью вредоносного файла быстрого доступа, Маскировки под правительственный консультативный PDF-файл. Вектор заражения предоставляет загрузчик на базе .NET, который развертывает вредоносные библиотеки DLL и поддерживает закрепление с помощью изменений реестра. Вредоносное ПО также использует DLL hijacking и выполняет различные команды, подчеркивая возможности APT-36, связанные с сложными целенаправленными угрозами, при этом для обнаружения предусмотрены специальные IOCS.
-----

Недавний анализ выявил нацеленную Вредоносную Кампанию, связанную с злоумышленником APT-36, который использует тактику социальной инженерии для проникновения в системы Windows. Операция предполагает использование вредоносного файла быстрого доступа Windows, замаскированного под правительственный консультативный PDF-файл, который служит первоначальным источником заражения. Этот метод использует поведение Windows по умолчанию, заключающееся в сокрытии расширений файлов, что способствует успешному уклонению от подозрений пользователя.

Как только вредоносный ярлык открывается, он запускает доставку скрытой полезной нагрузки MSI, что приводит к запуску загрузчика на основе .NET. Этот загрузчик предназначен для развертывания вредоносных библиотек DLL в системе жертвы, тем самым обеспечивая закрепление путем внесения изменений в реестр. Подход злоумышленника отражает глубокое понимание нацеленного шпионажа, который, вероятно, нацелен на правительственные организации.

Анализ также показывает, что вредоносное ПО может использовать методы DLL hijacking и выполнять различные команды, что указывает на ряд возможностей, схожих с теми, которые ожидаются от сложных целенаправленных угроз. Кроме того, в кампании используется внешняя инфраструктура, что означает, что атака организуется из внешнего источника, не полагаясь на исходные системные уязвимости для проникновения.

Отчет включает в себя правила YARA, подробно описывающие конкретные подписи, связанные с этой кампанией, и предоставляющие средства для обнаружения на основе выявленных индикаторов компрометации (IOCs). Эти IOCS включают конкретные имена файлов, такие как "NCERT-Whatsapp-Advisory.pdf.lnk", и домены, такие как "wmiprovider.com", которые имеют решающее значение для усиления мер защиты от этой конкретной угрозы.

Таким образом, кампания APT-36 демонстрирует сочетание социальной инженерии и технологической изощренности, используя поддельные документы и скрытное развертывание полезной нагрузки для эффективного компрометирования нацеленных сред. Операция подчеркивает сохраняющуюся угрозу, исходящую от APT-группировок, которые умело используют основанные на доверии приманки и возможности вредоносного ПО для достижения своих целей.

#ParsedReport #CompletenessLow
15-12-2025

GhostPairing Attacks: from phone number to full access in WhatsApp

https://www.gendigital.com/blog/insights/research/ghostpairing-whatsapp-attack

Report completeness: Low

Threats:
Ghostpairing_technique

Victims:
Whatsapp users

Geo:
Czechia

ChatGPT TTPs:
do not use without manual check
T1204, T1566, T1566.002

IOCs:
Domain: 7

Soft:
WhatsApp

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Нападение GhostPairing подвиги связь устройств особенностью WhatsApp, позволяющую злоумышленникам получить несанкционированный доступ к аккаунтам пользователей с помощью номеров телефонов и кодов сопряжения похож на двухфакторную аутентификацию. Изначально появившись в Чехии, взломанные аккаунты, отправлять обманные сообщения со ссылками на поддельные страницы, имитирующие Facebook, запросы пользователей, чтобы проверить их личности. Этот метод атаки использует налаженные взаимоотношения пользователей, с указанием организованных усилий по субъектам опасным и предполагая, что подобные уязвимости могут существовать в механизмах сопряжения других платформ.
-----

Атака GhostPairing - это серьезная киберугроза, которая использует функцию привязки устройств WhatsApp, позволяя злоумышленникам получать несанкционированный доступ к учетным записям пользователей. Первоначально эта кампания появилась в Чехии, где скомпрометированные аккаунты отправляли контактам вводящие в заблуждение сообщения, обычно содержащие ссылку на фотографию, которая, по-видимому, отображалась как элемент Facebook в WhatsApp. Когда пользователи переходили по этим ссылкам, они попадали на минималистичную веб-страницу с логотипом Facebook, что наводило их на мысль, что для доступа к контенту им необходимо подтвердить свою личность.

В контексте переходного процесса в WhatsApp злоумышленники используют более сложный метод, связанных телефонных номеров, и коды, которые более тесно связаны с двухфакторной протоколы проверки подлинности. Этот метод является особенно опасным, так как он позволяет обойти традиционные меры безопасности без необходимости красть пароли или перехватить сообщения. Как только пользователь устройства связан, атакующему получить полный доступ эквивалентна любой легальный пользователь, используя WhatsApp Web и, таким образом предоставляя им возможность совершать различные противозаконные действия.

Что повышает эффективность кампании по поиску призраков, так это ее опора на установившееся доверие среди пользователей. Вместо рассылки спама потенциальным жертвам злоумышленники используют связи, уже присутствующие в списках контактов пользователей. Это создает ощущение знакомости и безопасности, что способствует распространению мошенничества. Кроме того, показатели указывают на то, что злоумышленники-акторы могут использовать многоразовый инструментарий, что указывает на организованное злоупотребление, а не на изолированные атаки.

Последствия атаки GhostPairing выходят за рамки одного только WhatsApp, указывая на более широкую тенденцию, когда аналогичным образом могут использоваться механизмы сопряжения устройств на различных платформах. Как показывает эта атака, меры безопасности должны эволюционировать, чтобы справляться со сложными манипуляциями с законными функциями в приложениях, подчеркивая необходимость повышенной бдительности при защите целостности учетных записей пользователей.

#ParsedReport #CompletenessLow
22-12-2025

UEFI Firmack Flaw Bypasses Early-Boot DMA Protections

https://www.secureblink.com/cyber-security-news/uefi-firmack-flaw-bypasses-early-boot-dma-protections

Report completeness: Low

TTPs:
Tactics: 7
Technics: 7

Soft:
Linux

Functions:
EnableDmaProtection, Get-WmiObject

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Критическая уязвимость в прошивке UEFI связана с неправильной инициализацией модуля управления памятью ввода-вывода (IOMMU), что позволяет злоумышленникам, имеющим физический доступ, использовать вредоносные устройства PCIe для чтения и записи в системную память. Этот недостаток, возникающий из-за невозможности вызова функции EnableDmaProtection(), обеспечивает управление с высокими привилегиями и потенциальное внедрение буткитов или манипулирование точками входа в ядро. Идентифицированная как уязвимость CERT/CC, примечание VU#382314, она представляет значительные риски, особенно для общедоступных систем.
-----

В различных реализациях прошивки UEFI была выявлена критическая уязвимость, которая ставит под угрозу безопасность, обеспечиваемую модулем управления памятью ввода/вывода (IOMMU) на ранней стадии загрузки. Этот недостаток возникает из-за невозможности надлежащим образом инициализировать IOMMU, который предназначен для управления транзакциями прямого доступа к памяти (DMA) с устройств PCIe для предотвращения несанкционированного доступа к системной памяти. Без инициализации IOMMU злоумышленник, имеющий физический доступ, может развернуть вредоносное PCIe-устройство для свободного чтения и записи в системную память, потенциально извлекая конфиденциальную информацию или внедряя постоянные буткиты.

Специфика уязвимости связана с невозможностью вызова функции EnableDmaProtection() в коде UEFI. Злоумышленники-акторы могут воспользоваться этим, используя доступное программируемое Аппаратное обеспечение PCIe для создания устройства с поддержкой DMA, которое затем может изменять критически важные системные компоненты в памяти, эффективно получая контроль на высоком уровне привилегий. Это позволяет злоумышленникам вводить полезные данные в загрузчик операционной системы или манипулировать точками входа в ядро, не обнаруживаемыми стандартными мерами безопасности.

Исследование этой уязвимости, обозначенной как CERT /CC Vulnerability Note VU#382314, было инициировано исследователями Riot Games, а публичная информация была опубликована в конце декабря 2025 года. Поскольку многие поставщики Аппаратного обеспечения начинают устранять этот недостаток с помощью обновлений прошивки, администраторам важно отслеживать рекомендации поставщиков и оперативно применять исправления.

Что касается обнаружения, организации могут проводить аудит, используя такие инструменты, как fwupdmgr в Linux или другие инструменты CLI конкретного производителя, для обеспечения соответствия прошивки. Кроме того, системы, в которых параметры переназначения IOMMU/DMA включены, но неактивны, следует исследовать с помощью запросов PowerShell. Для смягчения последствий основной рекомендацией является обновление прошивки от соответствующих поставщиков Аппаратного обеспечения, наряду с мерами по ограничению физического доступа к системам, чтобы снизить риск атаки DMA.

Эта уязвимость создает значительные риски для безопасности, особенно затрагивая системы, которые являются общедоступными или расположены в небезопасных средах, что требует немедленных действий по внедрению эффективных исправлений и усилению протоколов физической безопасности вокруг критически важных компонентов Аппаратного обеспечения.

#ParsedReport #CompletenessLow
20-12-2025

Original Paper \| React2Shell Exploit Analysis Report

https://www.ctfiot.com/287795.html

Report completeness: Low

Threats:
React2shell_vuln

Victims:
Technology sector

Geo:
China, Germany

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)

CVE-2025-66478 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1105, T1190, T1210

IOCs:
File: 4
Hash: 5

Soft:
curl, busybox, WeChat

Languages:
javascript, java

Platforms:
x64, x86, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Уязвимость React2Shell в серверных компонентах React вызвала серьезные опасения по поводу Удаленного Выполнения Кода (RCE), вызванного небезопасной десериализацией, особенно в react-server-dom-webpack. Злоумышленники воспользовались этой уязвимостью, отправив обработанные запросы с использованием данных протокола полета без аутентификации, что привело примерно к 760 386 попыткам использования в период с 4 по 17 декабря 2025 года, в основном из Германии. Метод эксплуатации включал в себя обычные инструменты командной строки, такие как curl и wget, облегчающие загрузку вредоносных полезных файлов с удаленных серверов.
-----

Уязвимость React2Shell выявила значительные проблемы, связанные с Удаленным Выполнением Кода (RCE) из-за небезопасной десериализации в компонентах сервера React, особенно в таких пакетах, как react-server-dom-webpack. Эта уязвимость позволяет злоумышленникам использовать данные протокола полета, используемые Next.js без необходимости аутентификации путем отправки специально созданных запросов.

С 4 по 17 декабря 2025 года Genuine Security отслеживала приблизительно 760 386 попыток использования этой уязвимости, причем 11 декабря число попыток заметно увеличилось, достигнув своего пика на следующий день. Большинство этих атак было совершено из Германии, на долю которой приходится 86,5% от общего числа инцидентов, за которыми следуют Китай и Соединенные Штаты.

Первоначальное обнаружение попыток эксплойта было отслежено по определенной строке пользовательского агента, которая характеризуется как "Mozilla/5.0 (аудит безопасности; CVE-2025-55182- Сканер)". Этот зонд был обнаружен 4 декабря 2025 года, когда ранние запросы начинались с пустой полезной нагрузки, которая стала действительной только после публичного раскрытия доказательства концепции. Анализ показал, что инструмент, связанный с этим пользовательским агентом, был взят из репозитория GitHub, предназначенного для поиска уязвимости.

Злоумышленники используют распространенные инструменты командной строки, такие как curl и wget, чтобы упростить процесс загрузки вредоносных полезных файлов с удаленных серверов. Этот метод не только упрощает выполнение атаки, но и сводит к минимуму необходимость в сложных настройках, тем самым повышая вероятность успешного взлома. По мере развития ландшафта угроз, окружающего React2Shell, немедленное внимание к защите уязвимых систем и мониторингу попыток таких эксплойтов имеет решающее значение для смягчения потенциальных воздействий.

#ParsedReport #CompletenessMedium
22-12-2025

Malicious Chrome Extensions Phantom Shuttle Masquerade as a VPN to Intercept Traffic and Exfiltrate Credentials

https://socket.dev/blog/malicious-chrome-extensions-phantom-shuttle

Report completeness: Medium

Actors/Campaigns:
Phantom_shuttle (motivation: information_theft)

Threats:
Mitm_technique
Supply_chain_technique
Aitm_technique

Victims:
Developers, Foreign trade personnel

Geo:
Chinese, Hong kong, China

TTPs:
Tactics: 3
Technics: 8

IOCs:
Email: 1
Domain: 1
File: 22
Url: 4
IP: 1

Soft:
Chrome, Outlook, WeChat, docker, twitter, instagram

Functions:
FindProxyForURL, Q, U, setProxyMode, jerry

Languages:
php, javascript

Links:
http://github.com

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносные расширения Chrome "Phantom Shuttle" маскируются под VPN-сервисы для перехвата аутентификации через прокси-сервер и извлечения учетных данных пользователя, используя запутанный JavaScript для автоматического ввода учетных данных на различные веб-сайты. Эти расширения настраивают параметры прокси-сервера Chrome в трех режимах работы, специально ориентируясь на более чем 170 ценных доменов. Злоумышленник поддерживает непрерывное соединение с сервером управления для эксфильтрации данных, что вызывает серьезные опасения по поводу безопасности пользователей, работающих с конфиденциальной информацией.
-----

Вредоносные расширения Chrome, идентифицированные как "Phantom Shuttle", активны с 2017 года и предназначены для маскировки под законные VPN-сервисы при перехвате аутентификации через прокси-сервер для перехвата сетевого трафика и передачи учетных данных пользователя в инфраструктуру злоумышленника. Оба расширения, распространяемые одним и тем же злоумышленником, предлагают платные подписки, которые вводят пользователей в заблуждение, заставляя их полагать, что они получают законный инструмент для тестирования скорости сети.

Основная функциональность этих расширений основана на методах внедрения учетных данных, встроенных в две вредоносные библиотеки JavaScript. В частности, libraries-jquery-1.12.2.min.js и scripts.js—содержат запутанный код, который облегчает автоматическое внедрение учетных данных путем регистрации слушателей для перехвата каждого запроса HTTP-аутентификации на различных веб-сайтах.

После активации расширения динамически изменяют настройки прокси-сервера Chrome с помощью скрипта автоматической настройки прокси-сервера (PAC), который вводит три режима работы: "закрыть" (отключен), "всегда" (перенаправляет весь трафик) и "умный" (выборочно нацелен на домены с высокой стоимостью). Режим "smarty" специально нацелен на более чем 170 доменов, которые злоумышленник считает ценными, что увеличивает риск для пользователей.

Расширения поддерживают непрерывное соединение с сервером командования и контроля (C2) в phantomshuttle.space с интервалом в 60 секунд. Сервер C2, размещенный в Alibaba Cloud в Гонконге, стабильно функционировал, а история регистрации доменов свидетельствовала о постоянной преступной деятельности. Процесс эксфильтрации включает в себя несколько каналов передачи украденных данных, при этом учетные данные пользователя и токены сеанса хранятся в локальном хранилище Chrome для закрепления.

Операционный контекст вызывает серьезные опасения по поводу безопасности, особенно у пользователей, занятых в таких отраслях, как внешняя торговля или девелопмент, где конфиденциальные корпоративные данные могут быть скомпрометированы. Рекомендации для пользователей включают проверку разрешений на расширение, особенно для инструментов, связанных с VPN и прокси-серверами, и аудит установленных расширений для удаления любых ненужных.

Специалистам по безопасности рекомендуется вносить расширения в белый список, одновременно блокируя те, которые имеют опасные разрешения, и отслеживать любые расширения, которые включают модели оплаты подписки наряду с возможностями прокси-сервера. Дополнительные меры включают обнаружение любых признаков жесткого кодирования учетных данных и мониторинг подозрительных попыток аутентификации, что подчеркивает необходимость надежной сетевой защиты от таких сложных угроз. Методы атаки, используемые "Phantom Shuttle", были классифицированы по нескольким шаблонам во фреймворке MITRE ATT&CK, включая использование расширений браузера и тактику Злоумышленника посередине.

#ParsedReport #CompletenessHigh
22-12-2025

UNG0801: Tracking Threat Clusters obsessed with AV Icon Spoofing targeting Israel

https://www.seqrite.com/blog/ung0801-tracking-threat-clusters-obsessed-with-av-icon-spoofing-targeting-israel/

Report completeness: High

Actors/Campaigns:
Ung0801 (motivation: cyber_espionage)

Threats:
Pytric
Spear-phishing_technique
Rustric

Victims:
Israeli organizations, Enterprise environments

Industry:
Software_development

Geo:
Israeli, Israel, Asia

TTPs:
Tactics: 5
Technics: 12

IOCs:
File: 13
Hash: 6
Domain: 1
Url: 1
IP: 1

Soft:
PyInstaller, Outlook, Dropbox, Telegram, Microsoft Defender

Algorithms:
zip

Functions:
WriteHexToFile

Languages:
rust, visual_basic, python