#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В конце 2025 и начале 2026 года коллектив UnsolicitedBooker нацелен на телекоммуникационные компании в Кыргызстане и Таджикистане, используя передовую тактику. Они внедрили два бэкдор - LuciDoor и MarsSnake, известные своей закрепление и настраиваемыми конфигурациями. Злоумышленники использовали Целевой фишинг с вредоносными документами, использовали Сетевые устройства для управление и использовали методы DLL side-loading для повышения скрытности, что указывает на стратегическое смещение акцента в сторону телекоммуникационных инфраструктур Центральной Азии.
-----

В конце 2025 и начале 2026 года восточноазиатская хакерская группировка, связанная с коллективом UnsolicitedBooker, начала атаки на телекоммуникационные компании в Кыргызстане и Таджикистане, используя сложные методы, которые подчеркивают их передовые возможности. В этих операциях группа использовала два основных бэкдор-системы: LuciDoor и MarsSnake, оба из которых демонстрируют уникальные характеристики и закрепление в работе.

LuciDoor отличается тем, что настраивает консольный шрифт Lucida для отображения на терминале и демонстрирует исключительную закрепление при подключении к своему серверу управление (C2). Предпринимаются первоначальные попытки подключиться напрямую, но в случае неудачи в качестве последнего средства используется доступ к системным прокси-серверам и активным пользовательским подключениям. Этот многоступенчатый механизм прокси-сервера подчеркивает изощренность тактики проникновения.

MarsSnake был отмечен в более поздних атаках, будучи аналогичным образом адаптируемым, позволяя злоумышленникам изменять его конфигурацию без необходимости перекомпиляции исполняемого файла. Этот бэкдор использует зашифрованный блок, который может быть обновлен с помощью простых изменений XOR. Оперативный фреймворк, по-видимому, тесно связан с предыдущей деятельностью, связанной с группой UnsolicitedBooker, которая также проводила аналогичные фишинг-атаки на активы в Саудовской Аравии.

Тактика злоумышленников включала в себя Целевой фишинг-кампании с использованием замаскированных документов, связанных с телекоммуникациями, отправляемых через сервисы Microsoft Hotmail и Outlook. Примечательно, что эти документы содержали макросы, которые при включении выполняли бы полезную нагрузку скрытно. Изображения, использованные в этих документах, были созданы с использованием китайского инструмента Snipaste, включая конкретные строки, которые указывали на компрометация.

Операционная инфраструктура, используемая злоумышленниками, включала приобретение доменов и серверов для целей C2, что указывает на усилия, обеспеченные достаточными ресурсами. Их способность компрометация устройств MikroTik, превращение их в серверы C2, демонстрирует их манипулирование Сетевые устройства для несанкционированного доступа и контроля.

Вредоносное ПО также использовало методы DLL side-loading, позволяющие им использовать законные файлы для запуска своих вредоносных полезных нагрузок, повышая скрытность их операций. Более того, с помощью своих бэкдор злоумышленники не только выполняли команды и собирали системную информацию, но и умудрялись поддерживать надежную связь с C2, используя как зашифрованные, так и запутанные каналы.

Анализ этой тактики показывает, что группа UnsolicitedBooker переключила внимание на телекоммуникации Центральной Азии, используя передовые методы вредоносное ПО и стратегический фишинг для достижения своих вредоносных целей, сохраняя при этом изощренный подход как к выполнению управление по команде и контролю, так и к эксплуатации жертв.

#ParsedReport #CompletenessLow
17-02-2026

ConsentFix attacks abuse GitHub OAuth tokens to bypass authentication

https://www.threatlocker.com/blog/consentfix-attacks-abuse-github-oauth-tokens-to-bypass-authentication

Report completeness: Low

Threats:
Consentfix_technique
Clickfix_technique
Spear-phishing_technique
Watering_hole_technique
Smishing_technique

Victims:
Organizations

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1020, T1078, T1098, T1199, T1204, T1528

Links:
https://github.com/praetorian-inc/oauthseeker/

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ConsentFix - это метод атаки, использующий системы токенов OAuth, специально нацеленный на такие платформы, как GitHub, для получения постоянного доступа к учетным записям пользователей без кражи учетные данные. Этот метод использует социальную инженерию, чтобы обманом заставить пользователей предоставить доступ к вредоносным приложениям, что приводит к потенциальным утечкам конфиденциальных ресурсов, таких как данные CRM и API. Атака сопряжена с серьезными рисками, включая эксфильтрация данных и коммерческое мошенничество, что подчеркивает необходимость повышения осведомленности пользователей и мониторинга сторонних интеграций.
-----

ConsentFix - это продвинутый метод, который использует системы токенов OAuth, специально предназначенный для таких платформ, как GitHub. Этот метод позволяет злоумышленникам получать постоянный доступ к учетным записям без необходимости красть учетные данные пользователей или обходить стандартные механизмы аутентификации. По сути, он основан на обмане пользователей с целью предоставления разрешений вредоносным приложениям - тактика, основанная на ранее задокументированных стратегиях социальной инженерии, таких как ClickFix.

Процесс атаки, задействованный в ConsentFix, обычно разворачивается методичным образом, хотя специфика может варьироваться в зависимости от экземпляра. Злоумышленники часто используют тактику социальной инженерии, чтобы убедить пользователей авторизовать доступ, в результате чего злоумышленники получают постоянный доступ к конфиденциальным ресурсам, таким как данные системы управления взаимоотношениями с клиентами (CRM). Последствия таких нарушений могут быть серьезными, в том числе несанкционированный доступ к интерфейсам прикладного программирования (API), потенциальная компрометация взаимосвязанных сред "Программное обеспечение как услуга" (SaaS), эксфильтрация данных, кража интеллектуальной собственности и даже случаи коммерческого мошенничества.

Устранение рисков, связанных с ConsentFix, требует от организаций внедрения надежных методов управления идентификационными данными и мониторинга API. Эффективная защита зависит от развитой телеметрии идентификации и всесторонней видимости взаимодействий с API. Однако проблема заключается в том, чтобы провести различие между законными действиями пользователей и злонамеренным поведением, особенно когда объем аутентичных взаимодействий высок. Кроме того, организациям часто не хватает исторических данных о предоставлении согласия, что затрудняет выявление ненормальных моделей доступа.

ConsentFix представляет собой заметную эволюцию в атаках социальной инженерии, использующих OAuth, подчеркивая необходимость повышения осведомленности пользователей и технических гарантий при управлении сторонними интеграциями.

#ParsedReport #CompletenessMedium
16-02-2026

Operation DoppelBrand: Massive Fortune 500 Brand Impersonation Campaign Uncovered

https://socradar.io/blog/operation-doppelbrand-fortune-500-campaign/

Report completeness: Medium

Actors/Campaigns:
Doppelbrand (motivation: financially_motivated)

Threats:
Credential_harvesting_technique
Itarian_tool
Logmein_tool
Anydesk_tool
Screenconnect_tool

Victims:
Fortune 500 companies, Customers, Financial institutions, Technology sector, Healthcare sector, Consumer services sector

Industry:
Healthcare, Financial, Telco, E-commerce

Geo:
Brazilian

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 1

Soft:
Telegram

Crypto:
bitcoin

Languages:
php

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция DoppelBrand - это фишинг-кампания, атрибутирован с финансовой точки зрения злоумышленник GS7, нацеленный на компании из списка Fortune 500 и их клиентов, особенно в финансовом секторе. В операции используются поддельные интерфейсы OneDrive для сбора учетных данных и Telegram для эксфильтрация данных в режиме реального времени и обмена данными. GS7 устанавливает постоянный доступ с помощью инструментов удаленного управления, развернутых с помощью скриптов VBS, что со временем еще больше совершенствует их тактику и инфраструктуру.
-----

Операция DoppelBrand - это сложная фишинг-кампания, выявленная командой SOCRadar по поиску угроз, нацеленная на компании из списка Fortune 500 и их клиентов в течение нескольких лет. Атрибутирован с финансовой точки зрения злоумышленник, известный как GS7, который был активен в течение примерно десяти лет. GS7 постоянно совершенствует свою тактику и инфраструктуру, занимаясь заметным присутствием на подпольных рынках Бразилии, торгуя украденными учетные данные и корпоративной информацией. Актор использует множество Telegram-ботов для эксфильтрация учетные данные и работает на различных торговых площадках Dark Web, предлагая доступ к компрометация учетных записей банков, платежных платформ и других сервисов.

Методы доставки фишинг-сообщений, используемые в этой операции, включают поддельные интерфейсы OneDrive, которые предоставляют различные варианты поставщиков услуг, перенаправляя жертв на специализированные панели фишинг-рассылки. Эта стратегия расширяет круг потенциальных жертв, сохраняя при этом ауру легитимности. Как только жертва подключается к фишинг-сайту, актор собирает важную информацию, такую как имена пользователей, пароли и IP-адреса, часто выполняя поиск по геолокации, чтобы записать дополнительные сведения об интернет-провайдере жертвы. Данные фильтруются в режиме реального времени в группы Telegram с названиями "NfResultz by GS" и "WfResultz by GS", в то время как жертвы перенаправляются обратно на законный веб-сайт, чтобы скрыть попытку фишинг.

Для установления постоянного доступа GS7 использует законные средства удаленного управления (RMM), такие как LogMeIn, AnyDesk и ScreenConnect. Это достигается с помощью скрипта VBS, который проверяет наличие прав администратора, при необходимости усиливает контроль учетных записей пользователей (UAC) и выполняет автоматическую установку программного обеспечения RMM с помощью msiexec.exe . После установки актор удаляет все установочные файлы, чтобы устранить следы их присутствия.

Основной целью операции DoppelBrand были финансовые учреждения, которые привлекательны из-за немедленной стоимости перепродажи украденных банковских учетные данные. Скомпрометированные системы компрометация в этих учреждениях также могут быть перепроданы операторам программ-вымогателей. Помимо финансов, GS7 нацелена на секторы технологий, здравоохранения и потребительских услуг, ориентируясь в первую очередь на Соединенные Штаты и Западную Европу с помощью англоязычных шаблонов для фишинг-атак.

Принадлежность к GS7 была установлена с помощью различных показателей, включая анализ кода панели фишинг-мониторинга, токенов Telegram-бота и конкретных соглашений об именовании доменов. Сопоставление данных о деятельности подпольного рынка, наряду с прямым взаимодействием с актор, подтвердило операционные детали и высветило модель посредничества в доступе, которую они используют. В целом, операция DoppelBrand иллюстрирует значительную эволюцию методов фишинг, объединяющую автоматизированную инфраструктуру и высокоточную Имперсонация бренда с эксфильтрация учетных данных в режиме реального времени и злоупотребление инструментами RMM для поддержания постоянного доступа.

#ParsedReport #CompletenessLow
17-02-2026

Spam Campaign Abuses Atlassian Jira, Targets Government and Corporate Entities

https://www.trendmicro.com/en_us/research/26/b/spam-campaign-abuses-atlassian-jira.html

Report completeness: Low

Threats:
Spear-phishing_technique

Victims:
Government, Corporate entities, Organizations using atlassian jira, High email volume collaboration heavy organizations, English french german italian portuguese and russian speaking users, Russian professionals living abroad

Industry:
Government, Entertainment

Geo:
Portuguese, German, Russia, Russian, Italian, French

ChatGPT TTPs:
do not use without manual check
T1204.001, T1566.003, T1583.006, T1591.002, T1608.004, T1609

IOCs:
Domain: 56
IP: 4
Hash: 6

Soft:
Keitaro

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Спам-кампания использовала Atlassian Jira Cloud для выполнения нацелен-ных фишинг-операций, обходя стандартную защиту электронной почты за счет использования доверия, связанного с доменом Jira. Кампания, проходившая с конца декабря 2025 года по конец января 2026 года, была сосредоточена на различных демографических группах и секторах, в частности, направляя получателей помощи к сомнительным финансовым схемам. Использование Keitaro TDS для переадресации и персонализированного содержимого электронной почты иллюстрирует стратегический подход злоумышленник, направленный на повышение эффективности фишинг-рассылки по знакомым каналам связи.
-----

Недавняя кампания по рассылке спама использовала Atlassian Jira Cloud для выполнения операций по нацелен на рассылку спама, успешно обходя традиционные механизмы защиты электронной почты за счет использования доверенного домена, связанного с SaaS-продуктами Atlassian. Эта кампания, которая стартовала в период с конца декабря 2025 года по конец января 2026 года, была нацелен на различные демографические группы, в частности на носителей английского, французского, немецкого, итальянского, португальского и русского языков, включая квалифицированных российских экспатриантов. Спам-письма не только распространяли общий контент, но и были нацелены на конкретные секторы, в частности на государственные и корпоративные структуры. Использование Keitaro Система распределения трафика (TDS) для перенаправлений предполагает, что финансовая выгода была основным мотиватором этих кампаний, часто направляя получателей к сомнительным инвестиционным возможностям и сайтам онлайн-казино.

Операторы этой кампании предоставляли экземпляры, связанные со спамом, без какой-либо проверки владения доменом, используя неотъемлемое доверие, связанное с электронными письмами, сгенерированными Atlassian. Анализ показал, что зарегистрированные домены не коррелируют с поддельными названиями компаний, что свидетельствует о преднамеренной стратегии использования доверия к Jira Cloud. Кроме того, злоумышленники использовали тактику нацелен-ного анализа содержимого электронной почты, адаптированного к конкретным организациям и демографическим профилям, что повышало вероятность вовлечения.

Электронные письма были отправлены с того, что казалось законными облачными адресами Atlassian Jira. Встроенные ссылки в этих электронных письмах вели на различные домены, что еще больше подчеркивало стратегический подход кампании к таргетингу на организации, уже использующие Jira. Эти организации были особенно уязвимы из-за большого объема электронной почты и доверия к уведомлениям с платформы Jira, что увеличивало вероятность успешных попыток фишинг-рассылки. Сложный таргетинг и манипулирование надежными каналами связи указывают на хорошо спланированную стратегию злоумышленник, направленную на использование знакомства получателей с электронными письмами, сгенерированными с помощью Jira.

Полученные результаты демонстрируют необходимость принятия организациями, использующими Atlassian Jira, усовершенствованных мер безопасности для снижения рисков, связанных с такими угрозами, основанными на электронной почте, поскольку зависимость от традиционной защиты электронной почты может сделать их открытыми для подобных атак в будущем.

#ParsedReport #CompletenessLow
17-02-2026

NoodlophileStealer: When Cybercriminals Get a Bit Salty

https://www.morphisec.com/blog/noodlophile-stealer-when-cybercriminals-get-a-bit-salty/

Report completeness: Low

Threats:
Noodlophile_stealer
Dll_sideloading_technique
Chaes

Geo:
Brazil, Vietnamese

IOCs:
File: 2

Soft:
Telegram

Algorithms:
xor, zip, rc4

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО Noodlophile Stealer - это продвинутый стиллер информации, нацеленный на учетные данные и конфиденциальную информацию из различных приложений, таких как браузеры, криптовалютные кошельки и игровые платформы. Он использует сложные методы уклонения, включая запутывание кода, чтобы избежать обнаружения с помощью мер безопасности, и адаптирует свою тактику с помощью регулярных обновлений для расширения возможностей эксфильтрация данных. Доставка часто осуществляется с помощью фишинг-кампаний, что указывает на использование социальной инженерии для компрометация пользователей.
-----

Noodlophile Stealer - это сложное вредоносное ПО-стиллер информации, нацеленное на учетные данные пользователей и конфиденциальную информацию. Разработанный для сбора различных типов данных, Noodlophile обладает функциональностью, которая позволяет ему компрометация широкого спектра приложений, включая веб-браузеры, криптовалютные кошельки и игровые платформы. После заражения он активно извлекает регистрационные данные, токены сеанса и другие конфиденциальные данные, которые могут быть проданы на подпольных форумах или использованы для кражи личных данных.

Вредоносное ПО использует передовые методы обхода, позволяющие избежать обнаружения традиционными мерами безопасности. Вероятно, он использует методы обфускации для маскировки своего кода и поведения, что затрудняет обратное проектирование и анализ для исследователей безопасности и антивирусных решений. Эта характеристика подчеркивает его способность сохраняться в зараженных системах, оставаясь незаметным.

Недавние изменения в тактике, используемой разработчиками Noodlophile, указывают на адаптацию для лучшего противодействия усилиям по обнаружению и повышения его операционной эффективности. Вредоносное ПО может часто обновляться, чтобы включать новые функции или методы для улучшения процессов эксфильтрация данных или улучшения его способности обходить системы безопасности.

Более того, механизмы доставки для Noodlophile являются значительными и часто включают кампании фишинг, в ходе которых ничего не подозревающих пользователей могут заманить к загрузке вредоносное ПО либо с помощью вводящих в заблуждение электронных писем, либо с помощью веб-сайтов с компрометация. Такое закрепление тактики социальной инженерии подчеркивает непрерывную эволюцию киберугроза и важность надежной осведомленности пользователей и защитных мер.

Понимание технической работы Noodlophile Stealer имеет решающее значение для организаций, стремящихся повысить свою Кибербезопасность. Необходим постоянный мониторинг показателей компрометация (IOCs), связанных с этим вредоносное ПО, равно как и внедрение эффективных стратегий защиты конечных точек, которые включают поведенческий анализ для обнаружения аномалий, типичных для стиллер.

#ParsedReport #CompletenessHigh
17-02-2026

Divide and conquer: how the new Keenadu backdoor exposed links between major Android botnets

https://securelist.com/keenadu-android-backdoor/118913/

Report completeness: High

Threats:
Keenadu
Triada_trojan
Badbox
Vo1d
Supply_chain_technique
Nova_stealer
Dwphon
Sloth
Bb2door

Victims:
Android users, Android device firmware, Google play users, Getapps users, Alldocube tablet users

Industry:
Entertainment, E-commerce

Geo:
Netherlands, Brazil, Japan, Chinese, Russia, Germany

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1055, T1071.001, T1475, T1476, T1497.001, T1608.001, T1620, T1621, have more...

IOCs:
File: 2
IP: 4
Domain: 25
Hash: 81
Path: 2
Url: 1

Soft:
Android, Google Play, Google Chrome, android.chrome, WebRTC, Telegram, Instagram, WhatsApp

Algorithms:
aes-128, md5, gzip, aes, rc4, base64, xor

Functions:
GetApps

Platforms:
arm

Links:
https://github.com/unix3dgforce/lpunpack

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 25, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Бэкдор Keenadu нацелен на устройства Android, используя уязвимости в поддельных прошивка и модифицируя критически важные библиотеки, такие как libandroid_runtime.so . Он использует двухкомпонентную архитектуру с AKClient и AKServer, что позволяет ему выполнять вредоносную полезную нагрузку и извлекать данные, особенно из таких приложений, как Google Chrome. Вредоносное ПО затронуло более 13 000 пользователей, используя сложные методы для поддержания контроля и уклонения от обнаружения, в то время как его присутствие в законных приложениях вызывает серьезные опасения по поводу безопасности.
-----

Бэкдор Keenadu представляет собой сложную угрозу для устройств Android, используя уязвимости, главным образом, в поддельных версиях прошивка. Первоначально идентифицированный как вариант бэкдора Triada, он интегрируется в критически важные библиотеки системы, в частности, путем изменения libandroid_runtime.библиотека so, которая необходима для системы ведения журнала приложения Android. Это вредоносное ПО выполняет серию вредоносных полезных загрузок, адаптированных для различных приложений и платформ, расширяя свои возможности по эксфильтрация данных и контролю над устройствами, подвергшимися компрометация.

Keenadu использует архитектуру из двух частей, состоящую из AKClient и AKServer. AKClient внедряется в запущенные приложения на устройстве, обеспечивая связь с AKServer посредством защищенных широковещательных рассылок, которые облегчают загрузку произвольных DEX-файлов в контексте. Это позволяет серверу выполнять пользовательские вредоносные полезные нагрузки для назначенных приложений. И наоборот, AKServer организует первоначальную загрузку полезной нагрузки и поддерживает связь с зараженными клиентами, расположенными в сети.

В Keenadu троянец может доставить несколько вредоносных модулей, направленных на конкретные цели, например популярных онлайн-магазинов, веб-браузеров и системных приложений. Например, "кликер погрузчик" собирается местоположение устройства и сети передачи данных до кражи эти сведения в управление (С2) сервер, который отвечает с зашифрованной полезной нагрузки файлы. Другой модуль конкретно целей браузер Гугл Хром, используя свой жизненный цикл, чтобы внедрить код, который захватывает ввод пользователя.

Взломанные Android-устройств на наличие существенных вопросов, в том числе и назойливой рекламы, и других аномальных поведений часто атрибутирован с вмешательством в бэкдора. Keenadu's позволяла злоумышленникам контроль, с возможностью сохранения незамеченными через методы, такие как задержка активации полезной нагрузки, чтобы избежать анализ безопасности.

Векторы распространения вредоносное ПО указывают на более широкий охват: модули Keenadu, обнаруженные в системных приложениях, указывают на их встраивание в прошивка устройства или даже в легальные приложения, полученные из Google Play. Такая схема заражения вызывает опасения по поводу охвата и изощренности вредоносное ПО, которое нарушает экосистемы мобильной безопасности.

Данные телеметрии указывают на то, что более 13 000 пользователей по всему миру — особенно в таких странах, как Россия, Япония и Германия — стали жертвами Keenadu, отметив его как вредоносное ПО, имеющее серьезные последствия. Наблюдаемое взаимодействие Keenadu и других ботнет, таких как BADBOX, позволяет предположить, что у этих угроз могут быть общие кодовые базы и операционные фреймворк, лежащие в основе конкурентного ландшафта вредоносное ПО, которое безжалостно нацелено на платформы Android.

Современные меры безопасности ОС Android усложняют удаление зараженных системных разделов. Пользователи, как правило, не могут удалить зараженные библиотеки или приложения, не нарушив целостность их прошивка. Это усиливает риск, демонстрируя острую необходимость в надежных превентивных мерах против таких продвинутых угроз.

#ParsedReport #CompletenessHigh
17-02-2026

Active Exploitation of SolarWinds Web Help Desk

https://www.huntress.com/blog/active-exploitation-solarwinds-web-help-desk-cve-2025-26399

Report completeness: High

Threats:
Zoho_assist_tool
Cloudflared_tool
X2anylock
Toolshell_vuln
Bitsadmin_tool

Victims:
Solarwinds web help desk users

Industry:
Transport

CVEs:
CVE-2025-40551 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- solarwinds web_help_desk (<2026.1)

CVE-2025-40536 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- solarwinds web_help_desk (<2026.1)

CVE-2025-26399 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- solarwinds web_help_desk (le12.8.6, 12.8.7)


TTPs:
Tactics: 5
Technics: 3

IOCs:
Path: 7
File: 13
Url: 5
Coin: 1
Command: 1
Registry: 2
Domain: 2
Hash: 4

Soft:
Windows Defender, Windows Firewall, Supabase, Velociraptor, QEMU, WebhubDesk, Active Directory, linux, Windows service, Kibana, have more...

Algorithms:
base64, sha256

Functions:
Get-FileHash, Get-ComputerInfo, Set-Content, Write-Host

Win Services:
BITS

Languages:
java, powershell

Platforms:
intel, amd64

SIGMA: Found

Links:
https://gist.github.com/JohnHammond/543d2240c95c5f7b017be29c51203edd/raw/36257a33730f9d5b9244cec0dd19ba46ee069504/velociraptor\_config.yaml
have more...
https://github.com
https://gist.github.com/JohnHammond/543d2240c95c5f7b017be29c51203edd#file-velociraptor\_config-yaml