#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В Gentlemen Ransomware является вымогателей-как-услуга (Раас) группа возникающие в середине 2025, ориентированных на средних и крупных организаций. Они используют изощренные методы на повышение привилегий и перемещение внутри компании, позволяя им получить доступ и эффективное использование комплексных корпоративных систем. Текущие кампании в начале 2026 указать их адаптивный характер и намерения эксплуатировать уязвимости в системе безопасности.
-----

Gentlemen Ransomware - это появляющаяся преступная хакерская группировка, которая впервые получила известность благодаря активным кампаниям, отмеченным в августе 2025 года, хотя первые сигналы о разработке относятся к июлю 2025 года. Это программное обеспечение-вымогатель работает как программа-вымогатель как услуга (RaaS), привлекая партнеров с помощью структурированной партнерской модели, которая была объявлена в сообщении на форуме Dark Web в сентябре 2025 года. Группа нацелена на средние и крупные организации со сложной корпоративной средой, привлекая широкий круг жертв.

The Gentlemen вымогателей использует эффективный цепная реакция характеризуется адаптивный инструментарий и достаточный доступ к корпоративным системам. Конкретные методы, используемые в их операции включают в себя методы, направленные на повышение привилегий и перемещение внутри компании в сетях, что позволит им максимально эффективно воздействие удара. Усилия по смягчению последствий в отношении The Gentlemen подчеркивают важность предотвращения злоупотребления привилегиями и сосредоточения внимания на механизмах обнаружения на ранней стадии. Этот подход предпочтительнее традиционных методов, основанных на сигнатурах, которые могут быть не столь эффективны против этой адаптивной угрозы.

Недавние сообщения указывают на то, что группа активно добавляла жертв в начале 2026 года. Информация, полученная из источников мониторинга программ-вымогателей, подчеркивает постоянный и эволюционирующий характер их кампаний. Организациям рекомендуется усилить свою защиту для противодействия конкретным угрозам, исходящим от этой группы программ-вымогателей, поскольку она демонстрирует явные возможности и намерение использовать слабые места в корпоративной безопасности.

#ParsedReport #CompletenessLow
12-02-2026

Four Seconds to Botnet - Analyzing a Self Propagating SSH Worm with Cryptographically Signed C2 [Guest Diary\]

https://isc.sans.edu/diary/32708

Report completeness: Low

Threats:
Ssh_worm

Victims:
Linux systems

Industry:
Telco, Iot

Geo:
Germany, Deutschland

TTPs:
Tactics: 4
Technics: 0

IOCs:
IP: 1

Soft:
Linux, sshpass, Raspberry Pi, Twitter

Platforms:
raspbian

Links:
https://github.com/bruneaug/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В статье освещается угроза, исходящая от самораспространяющегося SSH worm, который использует слабые SSH-пароли с помощью атак Подстановка украденных учетных данных. Это вредоносное ПО использует криптографически подписанный механизм управления для быстрого распространения среди систем Linux, подвергшихся компрометация, подчеркивая сохраняющуюся уязвимость, связанную со слабыми учетные данные. Его сложная работа усложняет обнаружение, позволяя ему быстро заражать дополнительные хосты, что подчеркивает необходимость применения надежных паролей в Кибербезопасность.
-----

В статье обсуждается сохраняющаяся угроза, исходящая от операторов ботнет, которые используют слабые SSH-пароли, которые по-прежнему являются серьезной уязвимостью в Интернете. Основное внимание уделяется самораспространяющемуся SSH worm, который использует криптографически подписанный механизм управления (C2), позволяющий ему эффективно распространять и выполнять команды в системах компрометация.

Этот червь использует атаки Подстановка украденных учетных данных, которые позволяют злоумышленникам получать несанкционированный доступ к системам Linux, используя слабые или часто используемые SSH-пароли. Как только устройство подвергнуто компрометация, червь может инициировать массовое заражение, потенциально компрометация дополнительных хостов в течение нескольких секунд. Быстрое распространение такого вредоносное ПО подчеркивает важность надежного управления учетными данными и применения политики надежных паролей для защиты от подобных типов автоматических атак.

В статье подчеркивается, что, несмотря на достижения в области обеспечения безопасности, слабые учетные данные остаются критической зоной атаки для киберугроза. Криптографическая подпись червем сообщений C2 повышает уровень сложности, возможно, затрудняя решениям по обеспечению безопасности обнаружение и смягчение его активности. Поддержание бдительности в отношении этого типа вредоносное ПО требует сочетания надежных паролей и постоянного мониторинга сетевого трафика для выявления необычного поведения, указывающего на попытки эксплуатации или активность ботнет-сети.

#ParsedReport #CompletenessMedium
12-02-2026

Emulating the Elusive Cephalus Ransomware

https://www.attackiq.com/2026/02/05/emulating-cephalus-ransomware/

Report completeness: Medium

Threats:
Cephalus
Dll_sideloading_technique
Process_injection_technique
Shadow_copies_delete_technique

TTPs:
Tactics: 2
Technics: 13

IOCs:
Hash: 1
Path: 1
Registry: 1
File: 2

Soft:
Windows Defender, Microsoft Defender

Algorithms:
sha256, rsa-1024, aes, aes-256

Functions:
Set-MpPreference

Win API:
VirtualAlloc, VirtualProtect, GetSystemInfo, RtlGetVersion, GetComputerNameExW, GetUserNameW, GetEnvironmentStrings, CreateToolhelp32Snapshot, Process32FirstW, Process32NextW, have more...

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Cephalus ransomware использует process Injection с использованием API-интерфейсов VirtualAlloc и VirtualProtect для первоначального развертывания, обеспечивая выполнение вредоносного кода в рамках законных процессов. Он выполняет разведка путем сбора системной информации с помощью различных вызовов API и отключает защитник Windows, чтобы избежать обнаружения. Программа-вымогатель использует AES-256 для шифрования файлов, управляя ключами с помощью RSA-1024, и может удалять Shadow Copies томов, чтобы препятствовать восстановлению данных, используя такие методы, как DLL Side-Loading, чтобы повысить свой риск.
-----

Эмуляция Cephalus ransomware направлена на ознакомление организаций с направлениями ее атак и повышение уровня их безопасности. Развертывание программы-вымогателя начинается с process Injection с помощью API VirtualAlloc и VirtualProtect, что позволяет ей запускать вредоносный код в рамках законных процессов. Чтобы поддерживать закрепление, Cephalus создает запланированные задачи, гарантирующие их выполнение после перезагрузки системы.

На этапе обнаружения Cephalus проводит тщательную разведка, собирая системные и пользовательские данные с помощью API, таких как GetSystemInfo и RtlGetVersion. Он также собирает переменные среды с помощью GetEnvironmentStrings и перечисляет запущенные процессы с помощью семейства API CreateToolhelp32Snapshot, что помогает отобразить среду компрометация для дальнейшей эксплуатации.

Чтобы избежать обнаружения, Cephalus отключает защиту защитника Windows с помощью PowerShell и изменений в реестре, а также обновляет списки исключений, чтобы обеспечить себе безопасное рабочее пространство. Вредоносное ПО является ключевой частью стратегии обход защиты.

Фаза "Воздействие" начинается с удаления Shadow Copies тома с помощью vssadmin.exe , что помогает предотвратить восстановление данных жертвы. Cephalus извлекает информацию об адаптере и диске с помощью API GetAdaptersInfo и DeviceIoControl. Затем он обходит файловую систему и готовится к шифрованию с помощью вызовов FindFirstFileW и FindNextFileW. В процессе шифрования применяется AES-256 в режиме CTR для шифрования файлов при безопасном управлении ключами шифрования с помощью RSA-1024.

Дополнительным отмеченным методом является DLL Side-Loading (T1574.002), который позволяет программе-вымогателю использовать законные приложения для загрузки своей вредоносной библиотеки динамических ссылок (DLL), тем самым создавая дополнительные риски. Эмуляция cephalus Ransomware служит для того, чтобы оценить и укрепить защитные силы безопасности, об обязании службы безопасности в целях повышения их возможностей по реагированию на этом изощренная угроза. На основе непрерывного контроля и оценки организации могут усовершенствовать свои меры безопасности и повысить их общую эффективность против таких киберугроз.

#ParsedReport #CompletenessHigh
12-02-2026

Nation-State Actors Exploit Notepad++ Supply Chain

https://unit42.paloaltonetworks.com/notepad-infrastructure-compromise/

Report completeness: High

Actors/Campaigns:
Dragonfish
Volt_typhoon
Ghostemperor

Threats:
Cobalt_strike_tool
Dll_sideloading_technique
Supply_chain_technique
Chrysalis
Microsoft_warbird_tool
Lolbin_technique
Aitm_technique

Victims:
Notepad++ users, Cloud hosting industry

Industry:
Energy, Government, Critical_infrastructure, Software_development, Telco

Geo:
America, Australia, India, Middle east, Japan, Asia, Korea

TTPs:

IOCs:
File: 21
IP: 5
Url: 9
Hash: 13
Domain: 4

Soft:
NSIS installer

Win API:
EnumWindowStationsW

Languages:
php, lua

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
С июня по декабрь 2025 года спонсируемая государством преступная хакерская группировка Lotus Blossom подвергла компрометация инфраструктуру Notepad++ путем использования уязвимостей в устаревшем средстве обновления WinGUp. Они перенаправляли трафик на свои серверы с помощью поддельных элементов управления и использовали такие методы, как вредоносный установщик NSIS, выполняющий Lua-скрипт для доставки Cobalt Strike Beacon. Операция также включала DLL side-loading для внедрения бэкдора Chrysalis, что свидетельствует о переходе к целенаправленным атакам на supply chain среди актор, спонсируемых государством.
-----

В период с июня по декабрь 2025 года официальная инфраструктура хостинга текстового редактора Notepad++ была подвергнута компрометация спонсируемой государством группой, идентифицированной как Lotus Blossom. Этот злоумышленник использовал уязвимости в среде провайдера общего хостинга, в частности, нацелившись на недостаточные средства проверки, обнаруженные в устаревших версиях программы обновления Notepad++ WinGUp. Манипулируя этими элементами управления, злоумышленники перенаправляли трафик на контролируемые ими серверы, что приводило к дальнейшей эксплуатации.

Кампания включала в себя несколько методов атаки, включая вредоносный установщик с использованием NSIS (Nullsoft Scriptable Install System), который выполнял Lua-скрипт. Этот скрипт был разработан для загрузки и запуска полезной нагрузки Cobalt Strike Beacon, которая часто связана с задачами после эксплуатации и дальнейшими операциями командования и контроля. Кроме того, злоумышленники использовали методы DLL side-loading для внедрения бэкдора Chrysalis в системную память, что позволяло выполнять скрытые операции в среде, на которую нацелен.

Эта операция отражает значительную эволюцию тактики, используемой злоумышленник, спонсируемыми государством. В отличие от предыдущих кампаний таких групп, как Volt Typhoon и Salt Typhoon, которые в первую очередь были сосредоточены на проникновении в критически важную инфраструктуру с помощью широких стратегий предварительного позиционирования, группа Lotus Blossom продемонстрировала более целенаправленный подход, сосредоточив свои усилия на административной работе, необходимой для компрометация чувствительных Supply Chains. Этот сдвиг подчеркивает их стратегический приоритет в ориентации на ключевых сотрудников внутри организаций для более эффективного использования.

В статье также предлагается напоминание командам по Кибербезопасность о необходимости скорректировать свои методы хранения данных, в частности, изучить их эффективность при отслеживании действий до 2 декабря 2025 года. В нем рекомендуется использовать запросы к холодильному хранилищу для анализа данных, выходящих за пределы непосредственного хранения, чтобы обнаружить любые признаки компрометация в результате этих значительных манипуляций с supply chain.

#ParsedReport #CompletenessLow
12-02-2026

How a Complex Multi Payload Infostealer Hid in NPM Disguised as 'Console Visibility'

https://research.jfrog.com/post/duer-js-malicious-package/

Report completeness: Low

Threats:
Bada_stealer

Victims:
Software developers, Npm users, Discord users, Windows users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1057, T1059.007, T1105, T1195.001, T1555.003, T1562.001, T1567.002, T1622, have more...

IOCs:
File: 19
Path: 2
Url: 3
Hash: 1

Soft:
Discord, telegram, discordcanary, discordptb, lightcord, Chrome, Opera, Steam, Electron

Wallets:
brave_wallet, exodus_wallet, atomicwallet

Algorithms:
zip, xor

Functions:
eval

Platforms:
x86

Links:
have more...
https://github.com/xSalca/Viral
https://github.com/xSalca/

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 3, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавно обнаруженный пакет duer-js в NPM представляет собой сложное вредоносное ПО, идентифицированное как "bada stealer", нацеленное на системы Windows. После выполнения он завершает процессы браузера для сбора конфиденциальной информации, такой как пароли и данные кредитной карты, которые он извлекает через Discord webhook или Gofile. Кроме того, он загружает дополнительную полезную нагрузку, предназначенную для взлома настольного приложения Discord, используя передовые методы обфускации для перехвата конфиденциального сетевого трафика.
-----

Недавнее обнаружение вредоносного пакета с именем duer-js в NPM пользователем, идентифицированным как luizaearlyx, вызвало серьезную тревогу. Это изощренное вредоносное ПО, которое самоидентифицируется как "bada stealer", представляет собой усовершенствованный похититель информации, предназначенный для систем Windows. Примечательно, что пакет включает в себя меры защиты от несанкционированного доступа, которые усложняют анализ для исследователей, пытающихся расшифровать или изменить его содержимое.

После запуска вредоносное ПО инициирует процесс, завершая активные процессы браузера и Telegram, чтобы подготовиться к краже данных. Он систематически собирает конфиденциальную информацию, такую как пароли пользователей, данные кредитной карты и данные автозаполнения. Извлеченная информация хранится в файлах с именами Passwords.txt , Cards.txt , и Autofills.txt в пределах указанного пути "copyright" перед удалением. Основным методом эксфильтрация осуществляется через веб-интерфейс Discord, с альтернативным методом резервного копирования, использующим файлообменный сервис Gofile, где вредоносное ПО динамически извлекает адреса серверов для загрузки украденных данных.

Кроме того, исходная полезная нагрузка предназначена для загрузки вторичной полезной нагрузки по сильно запутанной ссылке. Этот второй этап вредоносное ПО не менее сложен и использует такие методы, как экранирование URI и динамическое вычисление для запутывания строк. Его основная функция заключается в захвате электронной среды настольного приложения Discord. Подключив отладчик, он способен перехватывать и фиксировать конфиденциальный сетевой трафик в режиме реального времени.

Что касается исправления, пострадавшим пользователям рекомендуется удалить пакет duer-js и предпринять шаги по отзыву и замене любых учетные данные, которые были скомпрометированы при компрометация. Это включает в себя полное удаление Discord из их систем, удаление связанных папок и обеспечение очистки связанных данных из их среды. Пользователи должны дополнительно аннулировать все украденные токены Discord, включить двухфакторную аутентификацию (2FA) и удалить любые потенциально компрометация приложений из своих процессов запуска.

Несмотря на относительно небольшое количество загрузок - 528, уникальные методы обфускации и структура с несколькими полезными нагрузками этого вредоносное ПО подчеркивают его потенциал для значительного воздействие на затронутых лиц. Присутствие пакета на GitHub более двух лет позволяет предположить, что он, возможно, способствовал другим попыткам заражения до недавних находок, что вызывает опасения по поводу личности и целей злоумышленника, стоящего за пользователем luizaearlyx.

#ParsedReport #CompletenessLow
12-02-2026

The macOS Stealer Gold Rush: How Cybercriminals Are Racing to Exploit Apples Ecosystem

https://flare.io/learn/resources/blog/the-macos-stealer-gold-rush-how-cybercriminals-are-racing-to-exploit-apples-ecosystem

Report completeness: Low

Actors/Campaigns:
Valhall88 (motivation: cyber_criminal)

Threats:
Macc_stealer
Clearfake
Amos_stealer
Etherhiding_technique
Clickfix_technique
Fakecop

Victims:
Cryptocurrency platforms, Wordpress ecosystem, Mac users

Industry:
Education, E-commerce, Financial

ChatGPT TTPs:
do not use without manual check
T1056, T1059.004, T1083, T1102, T1105, T1190, T1204, T1553.002, T1555.001, T1555.003, have more...

Soft:
macOS, Chrome, Gatekeeper, WordPress, ChatGPT, Mac OS, OpenAI, LastPass

Wallets:
exodus_wallet, trezor

Languages:
swift, javascript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ландшафт киберугроза для macOS меняется, поскольку появляется все больше изощренных стиллер, нацеленных на пользовательские данные, включая пароли и начальные фразы для криптовалют. Заметная активность группы UNC5142 подчеркивает использование компрометация сайтов WordPress для развертывания JavaScript в целях управление и продвинутые методы фишинг-атаки, нацеленные на определенные криптовалютные расширения Chrome. Эти угрозы основаны на ошибочном представлении о том, что устройства macOS невосприимчивы к вредоносное ПО, что требует повышенной осведомленности и обнаружения тактик атак, специфичных для macOS.
-----

Ландшафт киберугроза, нацеленных на macOS, резко изменился, поскольку все большее число актор-злоумышленников разрабатывают сложные стиллер-программы, специально разработанные для экосистемы Apple. Это знаменует собой значительный отход от прошлого, когда пользователи Mac сохраняли ложное чувство защищенности от вредоносное ПО, которое в основном поражало платформы Windows. В настоящее время процветающий подпольный рынок ориентирован на стиллер macOS, который может извлекать исчерпывающие пользовательские данные, включая пароли браузера и начальные фразы криптовалютного кошелька, с помощью передовых методов, а не полагаться на старые, грубые методы.

Примечательным примером в рамках этого меняющегося ландшафта угроз является группа, идентифицированная как UNC5142, которая инновационно использовала надежные платформы для усиления своих атак. Они использовали сайты WordPress, подвергшиеся компрометация, для внедрения JavaScript, который взаимодействует со смарт-контрактами блокчейна, что позволяет им создавать инфраструктуру управление. Этот подход демонстрирует тактическую эволюцию, при которой злоумышленники используют врожденное доверие к законным платформам, усложняя усилия по обнаружению и реагированию.

Акцент на краже криптовалют стал движущей силой таргетинга на устройства macOS. Стиллер разработан специально для атаки на 103 расширения Chrome, связанных с криптовалютой, используя тактику фишинг, имитирующую интерфейсы реальных кошельков. Например, фишинг-вариант, нацеленный на Trezor, уведомляет пользователей в режиме реального времени о неправильно введенных начальных фразах, усиливая обман. Другие варианты, такие как те, которые нацелены на Exodus, позволяют эксфильтрация начальных фраз сразу после ввода пароля, не представляя непосредственных признаков компрометация для пользователя.

По мере того как эти угрозы набирают обороты, устаревшее представление о том, что "компьютеры Mac не заражаются вирусами", представляет существенный риск. Организациям, использующим macOS, настоятельно рекомендуется усилить свою защиту, внедрив возможности обнаружения, которые определяют тактики, методы и процедуры, специфичные для macOS (TTP). Они могут включать мониторинг неподписанных приложений, запрашивающих конфиденциальные пароли, необычные действия терминала и неожиданные подключения к узлам блокчейна, которые не имеют законных финансовых целей. Кроме того, организациям следует проявлять бдительность в отношении закономерностей, указывающих на эксфильтрация данных, нацеленных на важную хранимую информацию, такую как Связка ключей и данные браузера. Такой упреждающий подход необходим для противодействия продвинутому и адаптированному характеру современных угроз для macOS.

#ParsedReport #CompletenessHigh
12-02-2026

Tenant from Hell: Prometei's Unauthorized Stay in Your Windows Server

https://www.esentire.com/blog/tenant-from-hell-prometeis-unauthorized-stay-in-your-windows-server

Report completeness: High

Threats:
Prometei_botnet
Credential_harvesting_technique
Lolbin_technique
Nop_sled_technique
Miwalk
Mimikatz_tool

Victims:
Construction industry, Windows server users

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.001, T1036, T1059.003, T1059.003, T1071.001, T1078.002, T1105, T1140, T1543.003

IOCs:
Path: 8
File: 7
IP: 3
Hash: 314
Registry: 1
Command: 5
Coin: 1
Url: 3

Soft:
Windows Service, Windows Firewall, Microsoft Defender, Windows Registry, Remote Desktop services, Windows Defender Application Control

Crypto:
monero

Algorithms:
rsa-1024, lznt1, base64, sha256, rc4, xor

Functions:
bytearray, Sleep, LZNT1_Decompress

Win API:
NtQueryInformationProcess, GetSystemTimes, CoInitializeEx, CoCreateInstance, gethostname, GetComputerNameA, GetComputerNameExA, GetSystemInfo, Decompress, EvtSubscribe, have more...

Languages:
python, powershell, php

Platforms:
x64

YARA: Found

Links:
https://github.com/eSentire/iocs/blob/main/Prometei/Prometei\_Unpacker.py
have more...
https://github.com/eSentire/iocs/blob/main/Prometei/Prometei\_Additional\_Module\_Decrypter.py

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 14, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В январе 2026 года была выявлена атака, в ходе которой вредоносное ПО Prometei было внедрено на сервер Windows с помощью учетные данные с компрометация RDP. Злоумышленники выполнили команды, облегчающие установку вредоносное ПО, которое использует шифр на основе скользящего ключа XOR для расшифровки своих компонентов. Prometei устанавливает связь с сервером C2 и может загружать дополнительные модули после выполнения, используя пакетный скрипт, хранящийся в определенном месте зараженной системы.
-----

В январе 2026 года была обнаружена вредоносная команда, пытавшаяся развернуть вредоносное ПО Prometei на сервере Windows, используемом заказчиком в строительном секторе. Первоначальный доступ для этой атаки, по-видимому, был получен путем использования общеизвестных учетные данные или данных по умолчанию, специально предназначенных для служб Протокол удаленного рабочего стола (RDP). После успешной компрометация учетной записи удаленного рабочего стола злоумышленники выполнили команды с помощью командных подсказок с повышенными правами, инициировав процесс развертывания вредоносное ПО.

Цепочка атак указывает на то, что после получения доступа через учетную запись RDP с компрометация злоумышленники выполнили определенную команду командной строки/PowerShell, которая облегчила загрузку и выполнение Prometei. Основная программа вредоносного ПО Prometei расположена в разделе .stub его кода и использует шифр на основе скользящего ключа XOR для расшифровки его основных компонентов, в частности разделов .text и .data. Процесс расшифровки начинается с чтения файла ключа XOR, расположенного по адресу C:\Windows\mshlpda32.dll .

Во время его установки на зараженный система, Prometei устанавливает связь с управляющим сервером (С2), но работает только эффективно, как служба Windows. Такое поведение усложняет динамического анализа, так как требует отладчика к после инициализации службы с помощью Диспетчера управления службами (SCM). Вредоносное ПО взаимодействует со своим сервером C2 по протоколу HTTP с конкретным сервером C2, идентифицированным как 103.176.111.176, зарегистрированным под номером 63737, который связан с Vietserver Services Technology Company Limited.

Дальнейший анализ показал, что Prometei способен загружать дополнительные модули после выполнения. Этот процесс делается с помощью пакетного скрипта, сгенерированного вредоносное ПО, расположенном в "C:\Windows\dell\walker_updater.cmd". Исследователи обеспечены правило Яра, чтобы облегчить обнаружение Prometei полезной нагрузки, и отметил наличие инструментов анализа в виде двух Python сценарии разработаны eSentire, чтобы помочь в дальнейшем расследовании этого вредоносное ПО и связанных модулей.