#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Целенаправленная киберкампания, атрибутирован с злоумышленник, связанный с российским государством, нацелена на Украину, используя недавно обнаруженные вредоносное ПО штаммов BadPaw и MeowMeow. Кампания начинается с фишинг-писем, ведущих к ZIP-архиву, который запускает HTA-файл и загружает загрузчик BadPaw, который устанавливает связь C2 и развертывает бэкдор MeowMeow. Оба штамма вредоносное ПО демонстрируют передовые методы обфускации и осведомленность об окружающей среде, чтобы избежать обнаружения, особенно с помощью инструментов анализа.
-----

Команда ClearSky выявила целенаправленную киберкампанию, атрибутирован с российскими злоумышленник, связанными с государством, направленную конкретно на Украину. В этой кампании используются два недавно обнаруженных штамма вредоносное ПО, известных как BadPaw и MeowMeow. Первоначальный вектор атаки включает в себя фишинг-рассылки по электронной почте, которые побуждают жертв загрузить ZIP-архив. После извлечения он запускает файл HTA, который представляет собой вводящий в заблуждение документ на украинском языке, касающийся апелляций на пересечение границы. Одновременно это запускает загрузку загрузчика BadPaw, который реализован с помощью .СЕТЕВЫЕ технологии.

После активации BadPaw устанавливает связь по каналу управление (C2) и впоследствии развертывает бэкдор MeowMeow. Оба штамма вредоносное ПО тщательно маскируются с помощью .NET Reactor, что свидетельствует об усилиях операторов избежать обнаружения и облегчить закрепление в зараженных средах. Чтобы усовершенствовать методы уклонения, вредоносное ПО использует строгую проверку параметров, которая приводит к тому, что вредоносные компоненты остаются неактивными, запуская только доброкачественный код с неопасным графическим интерфейсом, если не выполняются определенные условия.

Кроме того, MeowMeow оснащен расширенной системой защиты окружающей среды, включающей механизмы обнаружения сред виртуальных машин и распространенные инструменты анализа, такие как Wireshark, ProcMon и Fiddler. При обнаружении таких инструментов бэкдор незамедлительно прекращает свою работу, чтобы избежать анализа исследователями безопасности.

Предположение команды ClearSky о том, что злоумышленник связан с российским государством, подкрепляется многогранным подходом к анализу. Во-первых, нацеленность кампании на украинские цели предполагает соответствие геополитическим целям России. Во-вторых, идентификация русскоязычных строк в коде вредоносное ПО указывает на разработку в русском лингвистическом контексте. Наконец, методология заражения кампании, использование загрузчиков .NET и методов обфускации соответствуют тактическим схемам, наблюдавшимся в предыдущих операциях, связанных с российскими преступная хакерская группировка, в частности, с осторожной привязкой к APT28 (Fancy Bear). В целом, эта кампания демонстрирует изощренный подход к кибершпионажу против Украины, отражающий сохраняющуюся геополитическую напряженность.

#ParsedReport #CompletenessLow
03-03-2026

Analysis of an Integrated Phishing Campaign Utilizing Google Cloud Infrastructure

https://malwr-analysis.com/2026/03/03/analysis-of-an-integrated-phishing-campaign-utilizing-google-cloud-infrastructure/

Report completeness: Low

Victims:
Consumers

Industry:
Healthcare, Retail, Transport

ChatGPT TTPs:
do not use without manual check
T1204, T1204.001, T1566.002, T1583.006

IOCs:
Url: 1
File: 1

Soft:
gatekeeper

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинг-кампания использует облачную инфраструктуру Google для обхода мер безопасности, в ходе которой более 25 электронных писем направляют цели на вредоносный скрипт, размещенный в контейнере Google Cloud storage. Злоумышленники используют это, чтобы уклониться от проверок SPF и DKIM, приводя жертв на сайт, который собирает данные кредитной карты с помощью тактик социальной инженерии, таких как срочность и вознаграждение за узнаваемый бренд. Кампания иллюстрирует тенденцию "фишинг на доверенных платформах", в которой основное внимание уделяется финансовому мошенничеству с помощью вводящих в заблуждение запросов, основанных на срочности, после первоначального перенаправления.
-----

Недавно появилась кампания по фишинг-атаке, которая использует законную облачную инфраструктуру Google для обхода стандартных мер безопасности. Было выявлено более 25 различных фишинг-писем, нацеленных на одну учетную запись, и все они приводили пользователей к URL-адресу, связанному с контейнером облачного хранилища Google под названием "whilewait". В этом контейнере размещен файл вредоносного скрипта, "comessuccess.html ," который служит перенаправителем для облегчения атаки.

Злоумышленники используют серверы Google для размещения своей первоначальной ссылки на фишинг, позволяя электронным письмам проходить проверки подлинности, такие как SPF и DKIM. Когда пользователи переходят по ссылке, они автоматически перенаправляются на сторонний вредоносный сайт, где собирается конфиденциальная информация, в частности данные кредитной карты. Кампания использует различные тактики социальной инженерии, чтобы побудить пользователей переходить по фишинг-ссылкам. Эта тактика включает в себя создание ощущения срочности с помощью сообщений о том, что "Облачное хранилище заполнено" или "Хранилище аккаунта Google заполнено", а также внушение опасений в отношении безопасности с помощью предупреждений типа "Обнаружена критическая угроза" или "Срок действия антивирусной защиты истек". Кроме того, злоумышленники используют стимулы для розничной торговли, предоставляя предложения о вознаграждении от узнаваемых брендов наряду с рекламными акциями, касающимися образа жизни и решений для здоровья, что повышает достоверность их попыток фишинг-рассылки.

После того, как пользователи перенаправляются с Google Cloud link, они, как правило, сталкиваются с запросами о "плате за доставку" или "плате за обслуживание", чтобы получить доступ к своим вознаграждениям или обновлениям для системы безопасности. Этот этап является критическим для злоумышленников, поскольку он нацелен на сбор данных с кредитных карт. Любая финансовая информация, введенная на мошеннических сайтах, затем перехватывается, что приводит к немедленному финансовому мошенничеству. Тактика, используемая в этой кампании, согласуется с недавними исследованиями, свидетельствующими о росте количества электронных писем-отпугивателей, подталкивающих пользователей к подписке на мошеннические подписки или сервисные порталы.

Чтобы снизить риск, связанный с этим сложным "фишинг на доверенной платформе", эксперты по безопасности рекомендуют внедрять строгую фильтрацию электронной почты и постоянное обучение пользователей сигналам фишинг и подозрительным ссылкам. Пользователи должны быть обучены проверять подлинность сообщений и воздерживаться от ввода конфиденциальной информации, если они не уверены в легитимности сайта.

#ParsedReport #CompletenessLow
04-03-2026

Copy, Paste, Ransom: Making Data Exfiltration As Easy as AzCopy

https://www.varonis.com/blog/azcopy-data-exfiltration

Report completeness: Low

Threats:
Azcopy_tool
Rclone_tool
Megasync_tool

Victims:
Enterprises, Organizations

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1030, T1070.004, T1105, T1119, T1133, T1218, T1567.002, T1583.003

Soft:
Twitter

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операторы программ-вымогателей все чаще используют Microsoft AzCopy, утилиту Azure, для эксфильтрация данных, используя ее законные функциональные возможности, чтобы избежать обнаружения системами безопасности. Эта тактика позволяет злоумышленникам сливаться с обычными операциями, поскольку AzCopy передает данные по стандартным HTTPS-соединениям и не имеет мониторинга на многих платформах обнаружения конечных точек и реагирования (EDR). Типичная кража данных включает в себя генерацию токена подписи общего доступа (SAS) для доступа, что усложняет идентификацию аномальных действий.
-----

Операторы программ-вымогателей недавно внедрили AzCopy от Microsoft, законную утилиту Azure, для целей эксфильтрация данных. Эта тактика иллюстрирует тенденцию, когда злоумышленники используют знакомые, надежные инструменты, чтобы вписаться в обычные операции, что затрудняет обнаружение системами безопасности. В AzCopy, которая облегчает крупномасштабную передачу данных в хранилище Azure и из него, отсутствуют механизмы мониторинга на платформах обнаружения конечных точек и реагирования (EDR) многих организаций, что позволяет вредоносной активности часто оставаться незамеченной.

Использование AzCopy для совершения кражи данных означает стратегический поворот злоумышленник переходит от использования подозрительных хостинговых сервисов, известных своими "пуленепробиваемыми" характеристиками, к использованию инфраструктуры, которую организации используют законно. Этот сдвиг не только обеспечивает злоумышленнику надежный хостинг данных, но и усложняет типичные протоколы безопасности, которые могут улавливать необычные схемы трафика, поскольку передача данных происходит по стандартным HTTPS-соединениям.

Эффективная эксфильтрация AzCopy обычно включает в себя генерацию токена подписи общего доступа (SAS), предоставляющего доступ, не требуя традиционных учетные данные. Этот токен содержит важные сведения о доступе, включая разрешения и временные ограничения, что позволяет злоумышленник эффективно осуществлять кражу своих данных. Кроме того, AzCopy регистрирует свои операции локально, помогая потенциальному расследованию с помощью криминалистический анализ, если только злоумышленник не удалит журналы после операции, чтобы стереть улики.

Чтобы бороться с такими угрозами, организации должны усилить свои меры безопасности. Повышение безопасности данных влечет за собой понимание закономерностей перемещения данных и ограничение чрезмерных разрешений. Уделяя особое внимание анализу поведения пользователей и сущностей (UEBA), можно выявить аномальные действия, такие как неожиданная попытка учетной записи сервиса получить массовый доступ к конфиденциальным данным. Мониторинг сетевого трафика для взаимодействия с хранилищем Azure из нетипичных систем также имеет решающее значение.

Внесение приложений в белый список может ограничить несанкционированное выполнение файлов, тем самым снижая риск. Кроме того, наличие плана упреждающего реагирования на инциденты, который определяет роли и процедуры в случае значительных нарушений Кибербезопасность, подготавливает организации к быстрому устранению инцидентов в случае их возникновения.

В связи с растущей тенденцией использования злоумышленниками законных инструментов организациям настоятельно рекомендуется расширить свои возможности мониторинга и обеспечить наличие надежного механизма реагирования для обнаружения и предотвращения потенциальных попыток эксфильтрация данных с помощью таких инструментов, как AzCopy. Невыполнение этого требования может оставить значительный пробел в их защите от Кибербезопасность, что в конечном итоге поставит под угрозу конфиденциальную информацию.

#ParsedReport #CompletenessMedium
03-03-2026

Signed malware impersonating workplace apps deploys RMM backdoors

https://www.microsoft.com/en-us/security/blog/2026/03/03/signed-malware-impersonating-workplace-apps-deploys-rmm-backdoors/

Report completeness: Medium

Threats:
Trustconnect
Tactical_rmm_tool
Screenconnect_tool
Meshagent_tool

Victims:
Enterprises, Organizations

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.005, T1059.001, T1105, T1112, T1218.007, T1543.003, T1553.002, T1566.002

IOCs:
File: 9
Registry: 2
Path: 1
Domain: 3
Hash: 15
Url: 2

Soft:
Microsoft Defender, Zoom, Microsoft Teams, Windows service, Windows registry, Office365, Microsoft Defender for Endpoint

Algorithms:
sha1, sha256

Languages:
powershell

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В феврале 2026 года серия фишинг-кампаний, связанных с неустановленным злоумышленник, использовала приманки, связанные с рабочим местом, и мошеннические цифровые подписи программного обеспечения TrustConnect для доставки вредоносных исполняемых файлов, таких как msteams.exe и adobereader.exe . В результате атаки пользователи получали электронные письма с предложением загрузить поддельное программное обеспечение, невольно устанавливая средства удаленного мониторинга, включая бэкдор ScreenConnect, который устанавливал закрепление путем регистрации в качестве Служба Windows. Актор использовал несколько фреймворк RMM для обеспечения избыточности, демонстрируя сложный подход к поддержанию скрытого доступа с различными показателями компрометация, наблюдаемыми в средах компрометация.
-----

В феврале 2026 года эксперты Microsoft Defender раскрыли серию фишинг-кампаний, связанных с неустановленным злоумышленник, который использовал приманки, связанные с рабочим местом, и цифровые подписи от TrustConnect Software PTY LTD для доставки вредоносных исполняемых файлов. Злоумышленник использовал изощренную тактику, создавая электронные письма, в которых пользователям предлагалось загружать поддельное программное обеспечение, замаскированное под законные приложения, в том числе msteams.exe , zoomworkspace.clientsetup.exe , и adobereader.exe . Использование сертификатов расширенной проверки (EV) для подписи этих вредоносных двоичных файлов повысило уровень доверия, что облегчило взаимодействие пользователей и запуск вредоносное ПО.

Цепочка атак включала пользователей, получавших фишинг-электронные письма, которые содержали, казалось бы, подлинные PDF-файлы и приглашения на собрания, побуждающие к срочным действиям, таким как загрузка "обновлений" для Adobe Acrobat или Microsoft Teams. Вместо подлинного программного обеспечения загруженные файлы на самом деле содержали инструменты удаленного мониторинга и управления (RMM), причем основным установленным бэкдор был ScreenConnect, а также дополнительное программное обеспечение RMM, такое как Tactical RMM и MeshAgent. Злоумышленник обеспечил закрепление, внедрив эти бэкдор, которые позволяли осуществлять перемещение внутри компании и поддерживать доступ в средах компрометация.

При запуске этих вредоносных приложений они устанавливали постоянные службы в операционной системе Windows. Примечательно, что бэкдор ScreenConnect создал вторую свою копию в каталоге Program Files и зарегистрировал ее как Служба Windows, что облегчило его скрытую работу во время запуска системы. После установки бэкдор выполнял закодированные команды PowerShell, предназначенные для получения дополнительной полезной нагрузки, иллюстрируя методический подход к поддержанию контроля над зараженными системами.

Кроме того, анализ показал, что стратегия злоумышленник включала использование нескольких фреймворк RMM для создания избыточности, повышения их операционных возможностей и устойчивости к обнаружению или удалению одного метода доступа. Индикаторами этой широко распространенной компрометация были записи в реестре и закодированные параметры связи, которые предполагали наличие надежной инфраструктуры для удаленного доступа. Примечательно, что развернутые исполняемые файлы содержали отозванные цифровые подписи и использовали неподписанные установщики, что характерно для вредоносных действий, нацеленных на организационную среду.

#ParsedReport #CompletenessLow
05-03-2026

Malicious AI Assistant Extensions Harvest LLM Chat Histories

https://www.microsoft.com/en-us/security/blog/2026/03/05/malicious-ai-assistant-extensions-harvest-llm-chat-histories/

Report completeness: Low

Threats:
Rossetaph
Chatgptstealer

Victims:
Enterprise tenants, Knowledge workers, Ai users

Industry:
E-commerce

TTPs:
Tactics: 4
Technics: 0

IOCs:
Domain: 4
File: 1

Soft:
Microsoft Defender, ChatGPT, DeepSeek, Chromium, Google Chrome, Microsoft Edge, Chrome, Microsoft Defender for Endpoint, laude So, eepSeek &, have more...

Algorithms:
sha256, base64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Microsoft Defender обнаружил вредоносные расширения браузера на основе Chromium, имитирующие легитимные инструменты ИИ, такие как ChatGPT, с почти 900,000 установками, которые в основном нацелены на более чем 20,000 корпоративных сред. Эти расширения собирают чувствительные данные пользователей, включая историю браузинга и журналы взаимодействия с ИИ, используя знакомые визуальные эффекты для получения разрешений пользователей и скрытной работы в фоновом режиме. Они постоянно эксфильтруют данные на внешние серверы и спроектированы так, чтобы сохраняться через перезагрузки браузера и обновления, минимизируя обнаружение.
-----

Недавние расследования Microsoft Defender выявили вредоносные расширения браузера, предназначенные для имитации легитимных инструментов AI-помощников, таких как ChatGPT и DeepSeek. Эти расширения на базе Chromium собрали почти 900 000 установок и особенно активны в более чем 20 000 корпоративных средах, где они собирают чувствительные пользовательские взаимодействия и данные о просмотре. Основной риск, который представляют эти расширения, включает несанкционированный сбор полных URL-адресов и журналов чата AI, что потенциально может привести к утечке конфиденциальной информации организаций.

Атакующие использовали растущую популярность интеграций ИИ и браузеров, нацеливаясь непосредственно на конечных пользователей с помощью расширений, которые казались безвредными и привычными. Они использовали знания о легитимных продуктах, таких как AITOPIA, чтобы создать визуальные элементы и подсказки, которые хорошо соответствовали ожиданиям пользователей, эффективно снижая барьеры для установки, убеждая пользователей предоставить широкие разрешения на доступ к данным.

После установки вредоносные расширения работали бесперебойно, используя алгоритмы для наблюдения и сбора данных о взаимодействиях пользователей без необходимости дальнейших действий со стороны пользователя. Эти расширения использовали фреймворки расширений Chrome и Edge для перехвата данных о веб-серфинге в фоновом режиме, обеспечивая мониторинг всех посещённых сайтов и взаимодействий с интерфейсами AI-чатов. Их дизайн позволял им повторно инициализироваться при запуске браузера и сохраняться без необходимости повышения привилегий.

Расширения постоянно эксфильтровали данные на внешнюю инфраструктуру командования и управления. Они достигали этого, используя легковесные методы для уменьшения цифрового следа и артефактов на диске, которые обычно оставляет вредоносное ПО, эффективно скрывая свое присутствие от традиционных методов обнаружения. Более того, сбор телеметрии начинался автоматически и был спроектирован так, чтобы повторно включаться после обновлений, обеспечивая непрерывное приобретение данных — даже после потенциального отказа пользователя.

Возможности Microsoft Defender включают в себя обнаружение этих вредоносных расширений и мониторинг их активности. Их системы обнаружения настроены на идентификацию попыток загрузить подозрительные расширения браузера, тем самым подчеркивая проактивный подход к защите от таких угроз. Обнаружения, связанные с этой кампанией, включают в себя специфические идентификаторы известных вредоносных расширений и механизмы для блокировки командно-управляющих соединений.

Последствия этой злонамеренной активности значительны, создавая риски утечек конфиденциальной информации и постоянного несанкционированного наблюдения за чувствительными онлайн-взаимодействиями. Это подчеркивает необходимость для организаций внедрять строгие меры безопасности, особенно в средах, которые все больше зависят от приложений на базе ИИ, в то время как пользователи должны быть обучены рискам, связанным с установкой сторонних расширений.

#ParsedReport #CompletenessLow
05-03-2026

Disruption targets Tycoon 2FA, popular AiTM PhaaS

https://www.proofpoint.com/us/blog/threat-insight/disruption-targets-tycoon-2fa-popular-aitm-phaas

Report completeness: Low

Threats:
Tycoon_2fa
Aitm_technique

Victims:
Schools, Hospitals, Nonprofits, Public institutions, Legal, Real estate, Healthcare, Government, Education, Construction, have more...

Industry:
Entertainment, Government, Education, Aerospace, Energy, Healthcare

Geo:
Portugal, Poland, Lithuania, United kingdom, New york, Spain, America, Germany, Latvia, Canada, France

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1056.003, T1204.001, T1539, T1556.006, T1566.002, T1583.001, T1583.004, T1586.002, T1646

Soft:
Gmail, Telegram, Azure Active Directory

Wallets:
coinbase

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Tycoon 2FA — это платформа фишинга как услуги, позволяющая проводить атаки фишинга «человек посередине», что дает возможность злоумышленникам обходить многофакторную аутентификацию и собирать учетные данные для таких сервисов, как Microsoft 365 и Gmail. В 2026 году было зафиксировано более трех миллионов фишинговых сообщений, связанных с этой платформой, значительная часть из которых привела к захвату учетных записей, особенно в различных секторах. Инфраструктура была недавно нарушена благодаря скоординированным усилиям, в ходе которых было конфисковано 330 связанных доменов и нацелились на её создателя, но сервис продолжает развиваться и усугублять риски для многочисленных организаций по всему миру.
-----

Tycoon 2FA является значительной платформой для фишинга как услуги (PhaaS), которая в основном используется для проведения атак фишинга противника посередине (AiTM). Эта платформа позволяет злоумышленникам собирать имена пользователей, пароли и куки сеансов для таких сервисов, как Microsoft 365 и Gmail, обходя многофакторную аутентификацию (MFA) и приводя к полной компрометации аккаунта (ATO). Недавние данные показывают, что 99% организаций столкнулись с попытками компрометации аккаунтов в 2025 году, из которых 67% закончились успешными компрометациями, многие из которых касались аккаунтов с включенной MFA. В феврале 2026 года было зарегистрировано более трех миллионов фишинговых сообщений, связанных с Tycoon 2FA, что указывает на его повсеместную угрозу.

В начале марта 2026 года произошел значительный сбой в инфраструктуре Tycoon 2FA из-за согласованных усилий смешанной группы государственных и частных организаций, включая Proofpoint, Microsoft и Europol. Эта операция включала изъятие 330 доменов, связанных с Tycoon 2FA, и иск против его предполагаемого создателя, Саада Фриди. Ожидается, что это юридическое действие приведет к серьезным последствиям для операционных возможностей Tycoon 2FA и может препятствовать деятельности угрозы, использующей этот сервис.

Tycoon 2FA использует уникальный механизм, позволяющий злоумышленникам контролировать фишинговые страницы, что позволяет им перехватывать и пересылать учетные данные жертв в легитимные сервисы, одновременно перенаправляя любые запросы MFA к злоумышленникам. Эта техника усложняет обнаружение и предотвращение. Сервис рекламируется на платформах, таких как Telegram, и предлагает настраиваемый набор инструментов для фишинга для различных участников угроз. Киберпреступники также используют тактики, такие как "ATO Jumping", в которых они используют скомпрометированные учетные записи для распространения фишинговых ссылок Tycoon 2FA, увеличивая вероятность дальнейших захватов учетных записей.

Кампании платформы нацелены на разнообразные сектора, включая здравоохранение, юридическую сферу, образование и технологии, оказывая влияние на почти 100,000 организаций по всему миру. В результате успешных компрометаций организации рискуют серьезными последствиями, включая финансовые потери, ущерб репутации и возможность последующих атак, таких как программное обеспечение для вымогательства.

#ParsedReport #CompletenessHigh
05-03-2026

UAT-9244 targets South American telecommunication providers with three new malware implants

https://blog.talosintelligence.com/uat-9244/

Report completeness: High

Actors/Campaigns:
Ghostemperor
Pirate_panda

Threats:
Terndoor
Crowdoor
Peertime
Bruteentry
Relay_boxes_technique
Dll_sideloading_technique
Sparrowdoor

Victims:
Telecommunications providers, Critical telecommunications infrastructure

Industry:
Telco

Geo:
China, Chinese, American, America

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1041, T1053.005, T1055, T1057, T1060, T1102, T1105, T1110, have more...

IOCs:
File: 5
Registry: 1
IP: 24
Hash: 43
Domain: 3

Soft:
BitTorrent, windows service, docker, BusyBox, Linux

Algorithms:
aes

Win API:
decompress

Languages:
golang, rust

Platforms:
arm, mips

#ParsedReport #ExtractedSchema

Classified images:
dump: 3, schema: 2, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4