#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Amaranth-Dragon, APT-группировка, связанная с APT-41, проводила нацеленные кампании кибершпионажа в Юго-Восточной Азии, используя уязвимость WinRAR CVE-2025-8088 для выполнения кода через вредоносные архивы RAR. Их операции включают использование пользовательского инструмента Amaranth Loader и TGAmaranth RAT, использующего Telegram для командования и контроля, а также социальную инженерию и легальные сервисы для скрытности. Тактика группы подчеркивает дисциплинированный подход и быструю адаптацию к новым уязвимостям, что указывает на сложный ландшафт угроз.
-----

Amaranth-Dragon, APT-группировка, связанная с APT-41, провела нацеленные кампании кибершпионажа по всей Юго-Восточной Азии в 2025 году, в первую очередь против правительственных и правоохранительных органов. Операции группы совпадают со значительными геополитическими событиями в регионе, что служит тактикой для увеличения их шансов на успешное проникновение. Примечательно, что они использовали недавно раскрытую уязвимость WinRAR, CVE-2025-8088, позволяющую им использовать вредоносные архивы RAR для выполнения кода и закрепления в системах-жертвах. Эта уязвимость была раскрыта 8 августа 2025 года, и всего несколько дней спустя Amaranth-Dragon интегрировала ее в свои кампании, что ознаменовало бы быструю адаптацию к новым доступным эксплойтам.

Группа использует специальный инструмент, известный как загрузчик амаранта, которая обеспечивает зашифрованную полезную нагрузку и, в основном развертывает Havoc управление рамок (С2). Их деятельность характеризуется использованием законных таких услуг, как Dropbox и демонстрируют неординарный подход для сохранения скрытности, серверы С2 гео-ограничено, только отвечает на запросы от конкретных странах для минимизации непреднамеренных инфекций. Новый троян удаленного доступа (RAT) по имени TGAmaranth также выявлено, в которой работают телеграмма канал С2, что свидетельствует о тенденции к использованию популярных платформ связи для целей командования и управления.

Атаки Amaranth-Dragon были тщательно спланированы, с особым акцентом на темы, связанные с местными событиями, такими как кампания против филиппинской береговой охраны в честь ее 124-й годовщины. Они также использовали тактику социальной инженерии, выдавая себя за официальные организации, такие как "Администрация президента". В своих ранних кампаниях, до внедрения CVE-2025-8088, они использовали традиционные средства, такие как ZIP-файлы, содержащие файлы сценариев для запуска их загрузчика.

Набор инструментов группы демонстрирует заметное сходство с методами, ранее связанными с APT-41, включая DLL sideloading и другие методы, используемые в известных кампаниях. Определенные характеристики, такие как использование логики, основанной на времени, и специфических файловых артефактов, служат показателями дисциплинированной оперативной группы, работающей в рамках времени UTC+8. Возможности TGAmaranth RAT, которые включают функции защиты от обнаружения в системах обнаружения конечных точек и реагирования (EDR), еще больше подчеркивают техническое мастерство задействованных злоумышленников.

Таким образом, деятельность Amaranth-Dragon подчеркивает сложный ландшафт угроз, в котором уязвимости, подобные CVE-2025-8088, быстро используются в целях шпионажа. Операции группы подчеркивают необходимость для организаций, особенно в критически важных секторах, совершенствовать свои защитные механизмы, уделять приоритетное внимание своевременному устранению уязвимостей и поддерживать повышенную осведомленность о меняющихся тактиках и методах атак. Использование передовых методов для поддержания оперативности и эффективности служит напоминанием о постоянных рисках, создаваемых хорошо обеспеченными ресурсами злоумышленниками в сегодняшнем геополитическом климате.

#ParsedReport #CompletenessHigh
04-02-2026

Hunting Lazarus Part IV: Real Blood on the Wire

https://redasgard.com/blog/hunting-lazarus-part4-real-blood-on-the-wire

Report completeness: High

Actors/Campaigns:
Lazarus
Contagious_interview

Threats:
Anydesk_tool
Beavertail
Invisibleferret
Ottercookie
Tsunami_botnet
Xmrig_miner
Dead_drop_technique

Victims:
Software developers, Banking users, Cryptocurrency users, Blockchain platforms, Developer platforms

Industry:
Financial, Entertainment, Software_development, Telco

Geo:
France, Nigeria, Sri lanka, Hungary, Asia, Russia, Croatia, Pakistan, Bangladesh, India, Vietnam, Singapore, America, Costa rica, Spain

CVEs:
CVE-2024-4577 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- php (<8.1.29, <8.2.20, <8.3.8)


TTPs:
Tactics: 5
Technics: 22

IOCs:
IP: 17
File: 5
Path: 1
Registry: 1

Soft:
VSCode, Chrome

Wallets:
metamask, coinbase

Algorithms:
base64, xor

Functions:
Get-Content, Write-Warning, Get-ItemProperty, Get-ScheduledTask

Languages:
php, python, powershell

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Contagious Interview нацелена на разработчиков, использующих уязвимости и поведение вредоносного ПО, связанные с сервером командования и контроля по IP 146.70.253.107. Злоумышленники используют домены-приманки для получения учетных данных жертв, что приводит к раскрытию конфиденциальной информации, включая банковские реквизиты, в общей сложности 241 764 скомпрометированных учетных записей. Примечательно, что кампания предполагает использование троянца удаленного доступа AnyDesk для постоянного доступа, наряду с критическими уязвимостями, такими как CVE-2024-4577 на сервере XAMPP, и уязвимостью IDOR для несанкционированного доступа к данным.
-----

Недавние расследования кампании Contagious Interview выявили серьезные уязвимости и поведение вредоносного ПО, связанные с определенной инфраструктурой командования и контроля (C2) по IP-адресу 146.70.253.107. На этом сервере C2 размещены не прошедшие проверку подлинности конечные точки HTTP, такие как /uploadInfo и /uploadFile, которые используются вредоносным ПО для указания жертвам отправлять украденные данные. Кампания выявила структурированные записи жертв, включая имена хостов, IP-адреса и конфиденциальные учетные данные, хранящиеся в открытом виде, что указывает на значительный риск для финансовой и личной информации.

Атака специально нацелена на разработчиков, работающих в локальных средах, захватывая их пароли, сохраненные в браузере, с помощью вредоносного ПО, которое взаимодействует с серверами разработки, такими как React и Vite. Этот подход использует домены-приманки, где жертвы непреднамеренно предоставляют свои учетные данные, регистрируясь на, казалось бы, законных платформах, связанных с блокчейн-играми. Злоумышленники извлекают выгоду из повторного использования пароля, позволяя им получать доступ к другим учетным записям, которые используют те же учетные данные.

Расследование задокументировало 121 жертву с открытыми банковскими учетными данными, что привело к подаче отчета в ФБР. Дополнительным обнаружением стал троян удаленного доступа AnyDesk (RAT), внедренный в рамках той же кампании, который обеспечивает постоянный доступ к компьютерам жертв после кражи учетных данных. AnyDesk RAT включает жестко закодированные учетные данные злоумышленника в конфигурации жертв и служит бэкдором для непрерывной эксплуатации.

Технический анализ также выявил критическую уязвимость —CVE-2024-4577— в конфигурации сервера XAMPP, используемой C2, которая потенциально допускает Удаленное Выполнение Кода, если она используется. Кроме того, уязвимость небезопасной прямой ссылки на объект (IDOR) позволяет получить несанкционированный доступ к данным жертв, связанным с конкретными кампаниями, через конечные точки API.

Вредоносное ПО демонстрирует сложную тактику работы, такую как автоматическое планирование работы маяка C2 каждые 10 минут и использование XOR-шифрования в различных компонентах. Вся инфраструктура опирается на несколько основных IP-адресов, при этом одновременно запускается несколько кампаний, извлекающих большие объемы учетных данных от жертв, в общей сложности 241 764 задокументированных скомпрометированных аккаунта.

Чтобы снизить риск, пользователям рекомендуется проверить свои сохраненные учетные данные на наличие неизвестных записей, немедленно сменить важные пароли и удалить все несанкционированные экземпляры AnyDesk. Кроме того, внедрение двухфакторной аутентификации может защитить учетные записи от несанкционированного доступа, связанного со скомпрометированными учетными данными, связанными с этими атаками.

#ParsedReport #CompletenessLow
03-02-2026

Vive La Vulnrabilit: French Kubernetes Cluster Hunts Your Webhook Endpoints

https://www.labs.greynoise.io/grimoire/2026-02-03-vive-la-vulnerabilite-french-kubernetes-cluster-hunts-your-webhook-endpoints/

Report completeness: Low

Threats:
Credential_harvesting_technique

Victims:
Webhook endpoints, N8n platforms

Industry:
Healthcare

Geo:
France, French

CVEs:
CVE-2026-21858 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- n8n (<1.121.0)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071.001, T1190, T1583.003, T1583.004, T1583.006, T1595, T1595.003

Soft:
Kubelet, Debian, OpenSSH, curl, Linux

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
А нацелен кампании сканирования была определена эксплуатируя уязвимость CVE-2026-21858 уязвимости в платформе автоматизации документооборота n8n, что позволяет произвольный доступ к файлам через искаженные multipart/данные формы запросов. Родом из Франции, кампания вызвала более 33 000 запросы с помощью пользовательского агента пользователя (n8n-сканер/1.0) и на основе словаря пути, методы перечисления на Debian с 12 систем. То разведка разведки эта операция, вероятно, пришел к выводу, с указанием неминуемые попытки эксплуатации в течение следующих 7 до 14 дней.
-----

Недавний анализ выявил кампанию нацеленного сканирования, использующую инфраструктуру на базе Kubernetes для использования известной уязвимости в платформе автоматизации документооборота n8n, в частности CVE-2026-21858. Эта уязвимость позволяет осуществлять произвольный доступ к файлам посредством обхода пути в обработчиках webhook от n8n с помощью неправильно сформированных запросов на составные части/данные формы. Кампания была инициирована французской инфраструктурой и собрала более 33 000 запросов на сканирование, что подчеркивает ее интенсивность и целенаправленность.

Среды, задействованные в этой кампании, используют операционные системы Debian 12 "Bookworm" с OpenSSH версии 9.2p1, а наличие прокси-сервера Envoy предполагает использование конфигурации service mesh, вероятно, с использованием Istio, Linkerd или Consul Connect. Злоумышленники использовали методы перечисления путей на основе словаря, выполняя от 67 до 69 запросов на каждый путь, чтобы методично находить уязвимые конечные точки.

Большая часть трафика была сгенерирована с использованием двух вариантов инструмента curl, на долю которых пришлось 86,5% от общего числа запросов, классифицированных по префиксу "po11", который означает запросы POST со стандартными конфигурациями заголовков curl. Примечательным упоминанием является наличие специализированного пользовательского агента, идентифицированного как n8n-scanner/1.0, который использовался в течение сорока отдельных сеансов для зондирования.

Анализ атрибуции показывает, что инфраструктура не является конъюнктурной, а построена специально для этой кампании, с четкой географической концентрацией во Франции и работает под единым номером автономной системы (ASN). О скоординированном характере атак также свидетельствует временная группировка запросов с интенсивными всплесками активности, длящимися около двух часов.

Поскольку этап разведки этой операции, по-видимому, завершен, ожидается, что последующие попытки эксплуатации, нацеленные на выявленные уязвимости, будут предприняты в течение периода от 7 до 14 дней. Этот прогресс подчеркивает актуальность для организаций, использующих n8n, заблаговременной оценки своих систем на предмет уязвимости CVE-2026-21858.

Интересная статья про проблемы использования AI в Threat Intel.
В целом все верно указано, со многими проблемами сами сталкивались.

https://theravenfile.com/2026/02/05/logical-limitations-of-ai-models-in-threat-intelligence/

#ParsedReport #CompletenessLow
05-02-2026

Inside a Multi-Stage Android Malware Campaign Leveraging RTO-Themed Social Engineering

https://www.seqrite.com/blog/inside-a-multi-stage-android-malware-campaign-leveraging-rto-themed-social-engineering/

Report completeness: Low

Threats:
Anubisspy
Credential_harvesting_technique

Victims:
Indian users

Industry:
Financial, Government

Geo:
Indian, India

TTPs:
Tactics: 4
Technics: 0

Soft:
Android, Google Play, WhatsApp

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была выявлена сложная многоэтапная Вредоносная Кампания для Android, нацеленная на индийских пользователей, в основном использующая мошеннические действия на правительственную тематику, связанные с Региональным транспортным управлением (RTO), для использования тактики социальной инженерии. Вредоносное ПО действует в три этапа, действуя как дроппер и занимаясь майнингом криптовалют, с обширными возможностями управления, перехватывая одноразовые пароли, облегчая захват банковских счетов и позволяя менять SIM-карты. Угроза указывает на значительную эволюцию тактики по сравнению с предыдущими инцидентами, отражая намерение злоумышленника, обладающего достаточными ресурсами, систематически использовать ее.
-----

Недавний анализ выявил сложную многоэтапную Вредоносную Кампанию для Android, нацеленную на пользователей в Индии, в основном с помощью мошеннических действий на правительственную тематику, связанных с Региональным транспортным управлением (RTO). Эта кампания использует тактику социальной инженерии, имитируя официальные приложения, создавая ощущение срочности, чтобы обманом заставить пользователей загружать вредоносное ПО за пределами магазина Google Play. Серверная инфраструктура, поддерживающая это вредоносное ПО, была идентифицирована как использующая Облачные сервисы как для функций управления (C2), так и для эксфильтрации данных, что указывает на хорошо организованную операцию.

Вредоносное ПО работает в три различных этапа, сначала выступая в качестве дроппера для последующих полезных загрузок, а также занимаясь майнингом криптовалюты, когда устройство заблокировано. Эта двойная функциональность свидетельствует о продвинутом характере вредоносного ПО, которое выходит за рамки базовой тактики фишинга и включает в себя комплексную платформу для кражи личных данных и финансового мошенничества.

Изучив инфраструктуру кампании, аналитики получили представление о ее эксплуатационных возможностях, показав, что она действует как обширная система C2, а не просто как решение для хранения данных. Эта эволюция указывает на заметные улучшения по сравнению с предыдущими инцидентами, связанными с вредоносным ПО RTO, с расширенными возможностями, которые представляют значительные риски. Вредоносное ПО может перехватывать одноразовые пароли в режиме реального времени (OTP) для мошеннических финансовых транзакций, облегчать захват банковских счетов путем сбора учетных записей, осуществлять замену SIM-карт с использованием украденных идентификационных данных и совершать мошенничество с кредитами с доступом к конфиденциальной информации, такой как номера Aadhaar и PAN. Более того, он может перехватывать WhatsApp и другие Учетные записи соцсетей, существенно расширяя спектр угроз.

Усилия по обнаружению с помощью программного обеспечения безопасности, такого как Quick Heal, выявили варианты этого вредоносного ПО, помеченные как Android.Dropper.A, подчеркивая необходимость создания мощных механизмов защиты от таких угроз.

Эта продолжающаяся кампания иллюстрирует критическую эскалацию тактики, применяемой злоумышленниками в индийской киберсреде, подчеркивая переход к более структурированным и систематическим стратегиям эксплуатации. Многоэтапный подход в сочетании с централизованным механизмом контроля и активным финансовым надзором отражает намерения хорошо обеспеченной ресурсами и организованной группы по борьбе с угрозами, сосредоточенной на длительных операциях, а не на спорадических атаках.

#ParsedReport #CompletenessMedium
05-02-2026

Kimsuki APT43 Activity Analysis

https://www.ctfiot.com/296327.html

Report completeness: Medium

Actors/Campaigns:
Kimsuky (motivation: cyber_espionage)

Threats:
Babyshark
Appleseed
Kgh_spy
Alphaseed
Gold_dragon
Bitsadmin_tool
Qshing_technique
Spear-phishing_technique
Timestomp_technique
Process_injection_technique
Passthehash_technique

Victims:
Government agencies, Academic institutions, Think tanks

Industry:
Government

Geo:
Belgium, Slovakia, North macedonia, Portugal, Montenegro, America, Estonia, Korea, Finland, Greece, Bulgaria, Canada, Asia pacific, Asia, Germany, Vietnam, France, Thailand, Netherlands, Denmark, North korea, Hungary, Latvia, Slovenia, Romania, Dprk, Lithuania, Japan, Italy, Iceland, Croatia, Norway, Czech, Albania, Korean, Luxembourg, Poland

CVEs:
CVE-2019-0708 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_7 (-)
- microsoft windows_server_2008 (-, r2)

CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)


TTPs:
Tactics: 8
Technics: 72

Soft:
Android, Microsoft Office, Remote Desktop Services, WeChat

Languages:
python, powershell, visual_basic, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Kimsuki, APT-группировка, связанная с правительством Северной Кореи, занимается сбором разведданных, в частности, нацеливаясь на южнокорейские и американские организации, такие как правительственные учреждения, научные круги и аналитические центры. Группа использует тактику социальной инженерии и обладает умеренными техническими возможностями, занимаясь как шпионажем, так и киберпреступностью для финансирования своих операций. Двойной подход Kimsuki's представляет заметную угрозу для организаций, поскольку использует уязвимости с помощью специально разработанных стратегий.
-----

Kimsuki, APT-группировка, представляющая собой "продвинутую постоянную угрозу", действует по меньшей мере с 2012 года и, как полагают, действует в соответствии со стратегическими целями правительства Северной Кореи, в частности, поддерживая деятельность Генерального бюро разведки (RGB). Основное внимание этой группы сосредоточено на сборе разведывательных данных, в частности, нацеленных на южнокорейские и американские организации, включая правительственные учреждения, академические институты и аналитические центры, специализирующиеся на геополитических темах, связанных с Корейским полуостровом.

Kimsuki характеризуется умеренными техническими возможностями и опорой на тактику социальной инженерии, которая тонко настроена для обмана нацеленных лиц и организаций. Операции группы состоят не только из шпионажа, но и распространяются на киберпреступность, которая служит средством финансирования ее разведывательной деятельности. Эта двойная стратегия подчеркивает приверженность группы сбору стратегической информации, а также получению дохода от своей деятельности. Используя эти методы, Kimsuki продолжает представлять значительную угрозу для нацеленных организаций, используя сложные и адаптированные стратегии для использования уязвимостей в их защите.

#ParsedReport #CompletenessMedium
05-02-2026

Black Basta: Defense Evasion Capability Embedded in Ransomware Payload

https://www.security.com/threat-intelligence/black-basta-ransomware-byovd

Report completeness: Medium

Threats:
Blackbasta
Byovd_technique
Gotohttp_tool
Truesightkiller_tool
Gmer_tool
Av-killer
Ghostdriver_tool
Poortry
Burntcigar
Stonestop
Aukill_tool
Lolbin_technique
Conti
Ryuk
Trickbot
Qakbot
Cobalt_strike_tool

Industry:
Financial

Geo:
Russian, Russia, Ukraine

CVEs:
CVE-2025-68947 [Vulners]
CVSS V3.1: 4.7,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1068, T1486, T1543.003, T1562.001

IOCs:
File: 45
Hash: 6

Soft:
Windows kernel-mode driver, Windows Defender

Links:
have more...
https://github.com/BlackSnufkin/GhostDriver
https://github.com/MaorSabag/TrueSightKiller

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель Black Basta Ransomware усовершенствовала свои методы атаки, интегрировав в свою полезную нагрузку компонент bring-your-own-vulnerable-driver (BYOVD), в частности, используя драйвер NsecSoft NSecKrnl для отключения процессов безопасности перед выполнением шифрования. Эта стратегия нацелена на антивирусные решения и EDR-решения, повышающие вероятность обхода обнаружения. Управляемая группой Cardinal, Black Basta продемонстрировала адаптивность после прекращения работы своих предыдущих филиалов, что указывает на доступ к уязвимостям zero-day для проникновения в сеть.
-----

Недавняя активность, связанная с программой-вымогателем Black Basta Ransomware, указывает на значительную эволюцию ее методов атаки, в частности, за счет интеграции компонента bring-your-own-vulnerable-driver (BYOVD) непосредственно в ее полезную нагрузку. Такой подход знаменует собой отход от традиционных стратегий, в которых такие инструменты обычно применялись отдельно. Полезная нагрузка программы-вымогателя, в частности, удаляет уязвимый драйвер, известный как NsecSoft NSecKrnl, используя его для установки службы NSecKrnl. После ввода в действие этот драйвер используется для завершения определенных процессов, повышая эффективность атаки против мер безопасности.

В контексте операций с программами-вымогателями в 2026 году уклонение от защиты стало важнейшей стратегией для таких акторов, как Black Basta. В первую очередь это достигается за счет использования антивирусных решений (AV) и решений для обнаружения конечных точек и реагирования на них (EDR). Механизм отключения этих мер безопасности перед выполнением шифрования файлов имеет решающее значение для повышения вероятности успешной атаки программ-вымогателей, поскольку он сводит к минимуму шансы обнаружения до этапа шифрования.

Black Basta, управляемая группой Cardinal, появилась в апреле 2022 года и имеет связи с известными организациями, занимающимися киберпреступностью, связанными с Ryuk и Conti ransomware. Кроме того, группа ранее сотрудничала с банковским трояном Trickbot и была связана с ботнет Qakbot до его демонтажа в августе 2023 года. После этого сбоя Cardinal адаптировала свою тактику, обнаружив новые переносчики инфекции и продемонстрировав свою устойчивость, продолжив операции в 2023 и 2024 годах. Более того, есть признаки того, что акторы внутри группы имеют доступ к уязвимостям zero-day, которые они используют для проникновения в сети жертв.

Эта недавняя тактика внедрения механизма BYOVD поднимает вопросы о его потенциальном внедрении другими группами программ-вымогателей, размышляя о преимуществах, которые он может предложить в уклонении от обнаружения и повышении показателей успешности атак. Растущая тенденция свидетельствует об изменении ландшафта операций с программами-вымогателями, поскольку злоумышленники внедряют инновации, чтобы сохранить свои позиции, несмотря на усиление мер безопасности.

#ParsedReport #CompletenessHigh
05-02-2026

Knife Cutting the Edge: Disclosing a China-nexus gateway-monitoring AitM framework

https://blog.talosintelligence.com/knife-cutting-the-edge/

Report completeness: High

Actors/Campaigns:
Pyration

Threats:
Aitm_technique
Dknife_tool
Shadowpad
Darknimbus
Credential_harvesting_technique
Wizardnet
Spellbinder
Moonshine
Slaac_spoofing_technique
Dns_hijacking_technique
Mitm_technique
Sslmm

Victims:
Chinese speaking users, Router and edge device users

Industry:
Iot, Entertainment, Telco, E-commerce

Geo:
United arab emirates, Philippines, China, Chinese, Arab emirates, Cambodia

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1040, T1041, T1046, T1056.004, T1059, T1071.001, T1090, T1105, have more...

IOCs:
IP: 19
File: 41
Url: 25
Hash: 40
Domain: 1

Soft:
Android, WeChat, Linux, eo calls, WeCha, ng offic, HAProxy, Nginx

Algorithms:
gzip, md5, base64, sha256, aes, xor

Links:
https://github.com/ntop/n2n
have more...
https://github.com/yuleniwo/qqtea

#ParsedReport #ExtractedSchema

Classified images:
code: 19, schema: 3, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4