#ParsedReport #CompletenessMedium
06-03-2026

MAAS VIP_Keylogger Campaign

https://labs.k7computing.com/index.php/maas-vip_keylogger-campaign/

Report completeness: Medium

Threats:
Vipkeylogger
Spear-phishing_technique
Steganography_technique
Process_hollowing_technique
Antivm_technique

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027.003, T1041, T1055.012, T1071.001, T1071.003, T1140, T1204.002, T1552.001, T1552.003, have more...

IOCs:
File: 7
Email: 2
Domain: 4
Hash: 4
IP: 1

Soft:
Chrome, Slimjet, Blisk, Nichrome, Vivaldi, Sleipnir, Kometa, Torch, Kinza, Chrome_Canary, have more...

Algorithms:
aes-256, aes

Win API:
ResumeThread, SetThreadContext, GetThreadContext, VirtualAllocEx, WriteProcessMemory, ReadProcessMemory, ZwUnmapViewOfSection, CreateProcessA, CryptUnprotectdata

#ParsedReport #ExtractedSchema

Classified images:
code: 4, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания MAAS VIP_Keylogger использует сложные методы для инфицирования системы и извлечения данных, начиная с вредоносного ПО, доставляемого через файл RAR в обманном электронном письме. Вредоносное ПО использует формат .NET PE и процессное холлоуинг, чтобы работать полностью в памяти, обеспечивая скрытность. Оно захватывает конфиденциальную информацию из браузеров и коммуникационных приложений, эксфильтруя данные через такие методы, как FTP, SMTP и API мессенджеров, подчеркивая сочетание социальной инженерии и современных тактик вредоносного ПО.
-----

Кампания MAAS VIP_Keylogger использует сложные техники для инфицирования систем и извлечения конфиденциальной информации. Начальный вектор инфекции включает в себя электронное письмо, которое заманивает жертв в открытие RAR-файла, который содержит исполняемый файл с именем RN ZM VE TEKNK ZELLKLER_xlsx.exe. Когда он запускается, этот файл извлекает и запускает VIP_Keylogger полностью в памяти, предотвращая взаимодействие с файловой системой.

В первом зафиксированном случае вредоносное ПО использует формат .NET Portable Executable (PE), который скрывает два DLL в своем разделе ресурсов, используя стеганографию для скрытия второго DLL, Vertical bars.dll, внутри файла PNG. Этот DLL организует технику полостного процесса для выполнения полезной нагрузки VIP_Keylogger в контексте законного процесса. Во втором случае описывается стандартный PE-файл, который содержит AES-зашифрованные байты полезной нагрузки в своем разделе данных. После расшифровки этих байтов в памяти, он патчит AMSI (Интерфейс сканирования антивредоносного ПО) и трассировку событий для Windows (ETW), чтобы загрузить кейлоггер с использованием .NET Common Language Runtime (CLR).

VIP_Keylogger включает в себя различные функции, которые позволяют ему мониторить и захватывать чувствительные данные. Он может извлекать куки браузера, учетные данные для входа, данные кредитных карт и URL-адреса из нескольких приложений, храня эти данные в базе данных SQLite. Примечательно, что для браузеров, использующих шифрование AES-256 GCM, кейлоггер может расшифровывать хранимые пароли, получая доступ к мастер-ключу и используя DPAPI (интерфейс программирования приложений для защиты данных). Для устаревших браузеров расшифровка осуществляется через API CryptUnprotectData.

Малварь нацеливается на несколько клиентов электронной почты, включая Outlook, Foxmail и Thunderbird. В Outlook она собирает учетные данные из реестра, осуществляя поиск специфичных конфигураций POP3, IMAP, HTTP и SMTP. Для Foxmail она извлекает пароли с использованием команд, указанных в пути установки. Между тем, Thunderbird и Postbox следуют аналогичному шаблону операций, основанным на Firefox, используя API PK11SDR_Decrypt.

Дополнительно, кейлоггер захватывает учетные данные из коммуникационных приложений, таких как Discord и FileZilla. Он извлекает токены Discord из папок leveldb и получает детали подключения из FileZilla, читая файл recentservers.xml.

Когда речь заходит о эксфильтрации украденных данных, VIP_Keylogger использует несколько каналов, включая FTP, SMTP и API из мессенджеров, таких как Telegram и Discord. Анализ вредоносного ПО показал, что оно часто отправляет логи по электронной почте, в частности используя SMTP для передачи данных от "logs@gtpv . online" к "log@gtpv . online" через сервер хостинг-провайдера.

Эта кампания сочетает в себе социальную инженерию с передовыми техниками вредоносного ПО для компрометации систем и сбора конфиденциальных данных, подчеркивая критическую необходимость в надежных практиках кибербезопасности.

#ParsedReport #CompletenessMedium
06-03-2026

Analysis of VioletRAT malware carried in Italy

https://cert-agid.gov.it/news/analisi-del-malware-violetrat-veicolato-in-italia/

Report completeness: Medium

Threats:
Violet_rat
Ngrok_tool
Hvnc_tool
Uac_bypass_technique

Geo:
Italy

TTPs:
Tactics: 7
Technics: 0

IOCs:
File: 4

Soft:
Windows Defender

Algorithms:
aes, md5, base64

Functions:
GetTok

Win API:
mouse_event

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Malware VioletRAT версии 4.7 эволюционировал в своей инфраструктуре командования и управления, особенно нацеливаясь на пользователей в Италии, что указывает на возможную сегментацию в его операциях. Анализ выполнялся с использованием извлечения памяти и декомпиляции, что выявило динамический инструмент удаленного доступа с расширенной системной разведкой, выполнением команд и возможностями эксфильтрации данных. Особенности включают кражу учетных данных, мониторинг производительности, манипулирование взаимодействием с пользователем и скрытные операции, такие как обход UAC, подчеркивая его потенциал в шпионаже и саботаже.
-----

Анализ вредоносного ПО VioletRAT указывает на эволюцию в его операционной инфраструктуре, особенно в кампании, нацеленной на пользователей в Италии. Хотя более ранние оценки оставляли некоторую неопределенность относительно идентичности вредоносного ПО, недавние данные указывают на то, что это версия 4.7 VioletRAT. Эта версия, по-видимому, работает на другой настройке управления и контроля (C2), чем ранее идентифицированная, что потенциально указывает на сегментацию кампаний, использующих похожие техники и ресурсы.

Для обоснования этой идентификации следственный процесс включал извлечение памяти, где использовался скрипт на Python для сканирования действительных PE-заголовков и восстановления бинарных файлов из дампа памяти. Впоследствии для декомпиляции идентифицированного .NET полезного груза был использован ILSpy, что выявило сложный имплант удаленного доступа (RAT). Этот имплант демонстрирует динамическое C2 начальное развертывание, воплощая собой всеобъемлющие функции удаленного управления над системой скомпрометированной жертвы.

Статический анализ показывает, что вредоносное ПО обладает мощными возможностями системной разведки, используя "INFO beacon" для передачи системных данных на C2. Более того, наличие маркеров версии указывает на повторное использование кода в различных сборках VioletRAT, демонстрируя модульную природу вредоносного ПО. Команды, встроенные в компилированный код, иллюстрируют обширный операционный инструментариум, позволяя злоумышленнику выполнять команды, извлекать информацию о системе, манипулировать процессами и проводить эксфильтрацию данных. Вредоносное ПО может удаленно выполнять команды, завершать процессы и управлять файлами, эффективно предоставляя злоумышленнику значительный контроль над инфицированной машиной.

Дополнительные функции, отмеченные в анализе, включают модули для кражи учетных данных, мониторинга производительности и манипулирования взаимодействием с пользователем, наряду со скрытными операциями, которые включают обход UAC и постоянные полезные нагрузки. Эта специализированная функциональность подчеркивает способность вредоносного ПО вести шпионскую деятельность, а также реализовывать стратегии операционного саботажа.

#ParsedReport #CompletenessHigh
06-03-2026

TAXISPY RAT : Analysis of TaxiSpy RAT Russian Banking Focused Android Malware with Full Remote Control

https://www.cyfirma.com/research/taxispy-rat-analysis-of-taxispy-rat-russian-banking-focused-android-malware-with-full-remote-control/

Report completeness: High

Threats:
Taxispy

Victims:
Financial institutions, Banking customers, Russian users

Industry:
E-commerce, Financial, Government

Geo:
Russia, Russian

TTPs:
Tactics: 9
Technics: 26

IOCs:
IP: 1
Url: 1
Hash: 1

Soft:
Android

Algorithms:
xor

Functions:
getBotId, getServerListNative, getWebviewUrlNative, getWorkerKeyNative, A12, A213

Languages:
java, python

Platforms:
arm

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TaxiSpy RAT — это продвинутый банковский троян для Android, который сочетает в себе функции удаленного доступа (RAT) и нацеливается на российские финансовые учреждения. Он использует методы уклонения, такие как шифрование нативных библиотек и обфускацию с помощью переменного XOR, чтобы скрытно проводить обширное наблюдение за устройствами и перехватывать конфиденциальную информацию, включая банковские учетные данные и одноразовые пароли. Связь с его сервером командования и управления (C2) осуществляется через протоколы HTTP POST и WebSocket, используя Firebase для постоянного удаленного доступа и применяя различные тактики для поддержания длительной скрытности.
-----

TaxiSpy RAT — это продвинутый банковский троян для Android с функциональностью Trojan удаленного доступа, нацеленный на российские финансовые учреждения.

Он использует техники уклонения, такие как шифрование библиотек и скользящее XOR-обфусцирование строк для скрытной операции.

Малварь проводит всестороннее наблюдение за устройством, нацеливаясь на SMS, журналы звонков, контакты и уведомления для кражи конфиденциальной информации.

TaxiSpy RAT обнаруживает и расшифровывает список целевых российских банковских приложений для захвата учетных данных и мониторинга транзакций.

Он использует нативную библиотеку под названием sysruntime.so, предназначенную для обхода статического анализа.

Адреса серверов управления и контроля, учетные данные Firebase и данные конфигурации шифруются с использованием методов XOR.

Связь с C2 сервером осуществляется через протоколы HTTP POST и WebSocket, что облегчает динамическое выполнение команд.

Малварь запрашивает обширные разрешения, нетипичные для легитимных приложений, что позволяет ей перехватывать одноразовые пароли и отслеживать активности пользователей.

Он использует тактику скрытности, чтобы предотвратить появление своего значка в запускателях устройств.

TaxiSpy RAT систематически профилирует зараженные устройства, захватывая данные из уведомлений, SMS, журналов вызовов и содержимого буфера обмена.

Он может установить себя в качестве приложения для SMS по умолчанию, позволяя скрытую перехватку кодов подтверждения.

Оперативная безопасность включает в себя Firebase для C2-коммуникаций, используя push-уведомления для сохранения активности против попыток завершения со стороны пользователя.

Многоуровневая архитектура постоянства использует автоматический запуск при загрузке, службы доступности и запланированные будильники.

Выявленный C2-сервер (193.233.112.229) использует обфускацию и динамические методы дешифрования для усложнения анализа.

Малварь в первую очередь нацелена на русскоязычных пользователей с помощью социальной инженерии и переупаковки популярных приложений.

TaxiSpy RAT обозначает эволюцию угроз банковского мошенничества на Android, представляя собой высокие риски для пользователей и финансовых учреждений.

#ParsedReport #CompletenessLow
06-03-2026

INC Ransom Affiliate Model Enabling Targeting of Critical Networks

https://www.cyber.gov.au/about-us/view-all-content/alerts-and-advisories/inc-ransom-affiliate-model-enabling-targeting-of-critical-networks

Report completeness: Low

Actors/Campaigns:
Inc_ransomware
Scorpion

Threats:
Inc_ransomware
Spear-phishing_technique
Rclone_tool
Lynx
Nemty
Karma
Nokoyawa
Teamviewer_tool
Anydesk_tool
Byovd_technique
Credential_dumping_technique
Netscan_tool

Victims:
Health care, Professional services, Health care providers worldwide, Tongan ministry of health

Industry:
Government, Healthcare

Geo:
New zealand, Australian, Pacific, United kingdom, Australia, Tonga

TTPs:
Tactics: 6
Technics: 29

IOCs:
File: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа-вымогатель INC Ransom возникла в середине 2023 года и нацелена на критические сети, особенно в секторе здравоохранения Австралии, Новой Зеландии и Тонга. Они работают по модели Ransomware-as-a-Service, применяя техники двойного вымогательства, похищая конфиденциальные данные и шифруя файлы, при этом первичный доступ получен через скомпрометированные учетные данные или эксплуатируя уязвимости на публичных ресурсах. Их тактики включают сброс учетных данных, атаки методом грубой силы, боковое перемещение и использование легитимных инструментов для эксфиляции данных, сосредотачиваясь на нарушении национальных служб здравоохранения.
-----

INC Ransom — это группа-вымогатель программного обеспечения, которая появилась в середине 2023 года и нацелена на критически важные сети, особенно в секторе здравоохранения Австралии, Новой Зеландии и Тонги. Они функционируют по модели Ransomware-as-a-Service (RaaS) и используют тактику двойного вымогательства, похищая данные и шифруя файлы, угрожая их разглашением через сайт в даркнете. Первоначальный доступ часто достигается через скомпрометированные учетные данные или эксплуатацию уязвимостей, доступных для общественности. С июля 2024 года по декабрь 2025 года инциденты, зарегистрированные ACSC, указывают на изменение фокуса в сторону медицинских учреждений в Австралии. Нападающие используют скомпрометированные аккаунты для первоначального доступа, за которым следует повышение привилегий и боковое перемещение внутри сетей. Они развертывают вредоносное ПО, используя файлы с именем "win.exe", что приводит к эксфиляции данных, содержащих личную информацию и медицинские записи. Записки о выкупе содержат ссылки на сайт утечек данных группы, основанный на Tor. Королевство Тонга испытало значительные атаки, такие как одна в июне 2025 года на Министерство здравоохранения, что нарушило работу служб здравоохранения. В Новой Зеландии программное обеспечение-вымогатель вызвало значительное похищение данных и их шифрование в секторе здравоохранения. Тактики для получения доступа включают специальные фишинговые атаки, эксплуатацию неустраненных уязвимостей и получение действительных учетных данных от брокеров доступа. Инструменты эксфиляции данных, такие как 7-Zip и rclone, используются после атаки. Их тактики, техники и процедуры (TTP) согласованы с другими RaaS-операциями, имея сходство с группами, такими как Lynx. Ключевые технологии эксплуатации включают извлечение учетных данных, атаки brute force и систематическое сетевое разведку. Они используют методы, такие как Bring Your Own Vulnerable Driver (BYOVD), для повышения привилегий. Рекомендуемые меры по смягчению последствий включают ужесточение контроля за сетью, управление удаленным доступом и внедрение практик управления уязвимостями, при этом непрерывный мониторинг сетевых активностей является крайне важным для обнаружения и реагирования.

#ParsedReport #CompletenessMedium
04-03-2026

Cloudflare participates in global operation to disrupt Tycoon 2FA

https://www.cloudflare.com/en-au/threat-intelligence/research/report/tycoon-2fa-takedown/

Report completeness: Medium

Threats:
Tycoon_2fa
Dadsec_tool
Bec_technique
Credential_harvesting_technique

Victims:
Real estate, Architecture engineering and construction, Microsoft 365 users, Gmail users

Industry:
Government

ChatGPT TTPs:
do not use without manual check
T1027, T1056.003, T1071.001, T1090, T1102, T1204.002, T1539, T1550.004, T1556.006, T1566.002, have more...

IOCs:
Domain: 1
File: 3

Soft:
Telegram, Gmail, PhantomJS, Burp Suite, CryptoJS

Algorithms:
aes

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Платформа Tycoon 2FA, работающая с августа 2023 года, эффективно обходила многофакторную аутентификацию (MFA) и собирала сессионные куки, чтобы облегчить атаки на скомпрометированные бизнес-электронные почты (BEC). Используя легитимную инфраструктуру и современные техники уклонения, она выступала в роли обратного прокси для захвата данных аутентификации пользователей из таких сервисов, как Microsoft 365. Недавние действия Cloudflare и Microsoft включали демонтаж фишинговой инфраструктуры и изъятие доменов, что значительно повлияло на ее операции.
-----

Cloudflare, в сотрудничестве с Microsoft, приостановил работу платформы Tycoon 2FA phishing-as-a-service (PhaaS), функционирующей с августа 2023 года и признанной форком ранее существовавшего набора инструментов для фишинга "Dadsec". Tycoon 2FA примечателен своей способностью обходить многофакторную аутентификацию (MFA) и собирать живые куки сессий у жертв, что позволяет осуществлять последующие атаки на компрометированные бизнес-электронные почты (BEC) с использованием скомпрометированных аккаунтов. Используя законную инфраструктуру, такую как Cloudflare Workers, эта платформа скрывала злонамеренные действия, перенаправляя исследователей безопасности на легитимные сайты, при этом захватывая данные аутентификации в реальном времени.

Операция Tycoon 2FA заключалась в использовании реверс-прокси для перехвата запросов на аутентификацию от пользователей, пытающихся войти в такие сервисы, как Microsoft 365 или Gmail. Этот механизм позволил злоумышленникам получать доступ к полностью аутентифицированным сессиям, что сделало традиционные меры MFA неэффективными. Подписчики сервиса, доступного за примерно 120 долларов, использовали этот набор инструментов для участия в атаках BEC, контролируя внутренние коммуникации и финансовые транзакции в скомпрометированных почтовых средах. Злоумышленники отправляли по-настоящему легитимные счета с доверенных аккаунтов, чтобы перенаправлять платежи на счета-мула, контролируемые преступниками, что приводило к значительным финансовым потерям.

Данная операция, проведенная 4 марта 2026 года, включала в себя широкие технические и юридические меры. Действия Cloudflare охватывали идентификацию и ликвидацию обширной инфраструктуры, поддерживающей Tycoon 2FA, которая включала тысячи доменов, использующихся для фишинга. Согласованные юридические усилия Microsoft привели к изъятию вредоносных доменов, в то время как Cloudflare провел массовую ликвидацию инфраструктуры связанных проектов Workers. Уничтожив активные скрипты и приостановив связанные учетные записи, Cloudflare эффективно нейтрализовал прокси-функции набора инструментов. В операции также участвовал Europol, который координировал действия правоохранительных органов в разных юрисдикциях.

Tycoon 2FA использовал сложные техники антианализа в своих кампаниях, применяя обфускацию и редирект для избегания выявления инструментами безопасности. Фишинговые наборы использовали тактики обмана, такие как использование "Payoff Letters" в сфере недвижимости или выдача себя за IT-сервисы, чтобы заманить жертв в предоставлении конфиденциальной информации. Для усиления стратегий защиты против таких PhaaS платформ организациям следует внедрять передовые решения по безопасности электронной почты, которые включают проактивную идентификацию злонамеренной инфраструктуры, использование моделей поведенческого обнаружения и строгие протоколы подлинности электронной почты.

В resumen, совместные усилия между Cloudflare и Microsoft значительно уничтожили ключевого игрока в области фишинга, который был instrumental в содействии BEC через продвинутые стратегии уклонения и постоянную эксплуатацию процессов аутентификации пользователей. Этот инцидент подчеркивает необходимость усовершенствованных механизмов обнаружения и стратегий смягчения для эффективного противодействия новым киберугрозам.

#ParsedReport #CompletenessHigh
06-03-2026

APT36: A Nightmare of Vibeware

https://www.bitdefender.com/en-us/blog/businessinsights/apt36-nightmare-vibeware

Report completeness: High

Actors/Campaigns:
Transparenttribe (motivation: information_theft)

Threats:
Cobalt_strike_tool
Havoc
Polyglot_ransomware
Warcode
Crystalshell
Lolbin_technique
Nimshellcodeloader
Creepdropper
Sheetcreep
Mailcreep
Google_rat
Gc2-sheet_tool
Supaserv
Luminousstealer
Zigshell
Crystalfile_tool
Luminouscookies
Process_injection_technique
Xaitax_tool
Process_hollowing_technique
Backupspy
Zigloader
Timestomp_technique
Gatesentinel_tool
Allrounder_tool
Filecopyu_tool
Mythic_c2_tool
Xaitaz_cromeelevator_tool
Carved4_tool

Victims:
Indian government, Indian embassies, Afghanistan government, Private businesses, Diplomatic missions

Industry:
Government, Healthcare, Military

Geo:
Pakistani, Indian, Pakistan, Asian, Afghanistan

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1059.003, T1070.006, T1071.001, T1102, T1105, T1140, T1204.002, T1566.001, have more...

IOCs:
File: 18
Path: 14
IP: 2
Domain: 1
Email: 3
Hash: 47
Command: 1
Url: 2

Soft:
Slack, Discord, Supabase, chrome, Google Chrome, Graph API, PostgreSQL, curl, Chromium, Google Chrome, Microsoft Edge, have more...

Algorithms:
sha256, base64, cbc, aes, xor, des, md5, zip

Functions:
base64

Win API:
VirtualAllocEx, WriteProcessMemory, LoadLibrary, CreateRemoteThread, NtAllocateVirtualMemory, CreateThread, NtFreeVirtualMemory

Languages:
rust, powershell

Platforms:
x64, cross-platform

Links:
https://github.com/vxunderground/MalwareSourceCode
have more...
https://github.com/ytisf/theZoo

#ParsedReport #ExtractedSchema

Classified images:
schema: 8, chart: 1, code: 1, windows: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT36, или Transparent Tribe, является угрожаемым актором, базирующимся в Пакистане, который применяет категорию вредоносного ПО, управляемого ИИ, известную как "vibeware," состоящую из низкокачественных имплантов на нишевых языках программирования. Ориентируясь на индийские государственные и дипломатические структуры, их тактика включает командование и контроль через надежные облачные сервисы, стратегию Living Off Trusted Services и первоначальный доступ через вредоносные вложения в электронные письма. В их операциях используются такие инструменты, как CreepDropper и LuminousStealer, демонстрируя как методичную экстракцию данных, так и сложные методы уклонения, несмотря на технические недостатки, присущие их вредоносному ПО.
-----

APT36, известная как Transparent Tribe, является киберугрозой, базирующейся в Пакистане. Они начали внедрять новый тип вредоносного ПО, названного "vibeware". Это вредоносное ПО состоит из низкокачественных имплантов, разработанных на нишевых языках программирования, таких как Nim, Zig и Crystal. APT36 нацеливается на государственные и дипломатические учреждения Индии и использует стратегию, известную как "Living Off Trusted Services" (LOTS), чтобы замаскировать свои действия в легитимном трафике. Значимые компоненты их инструментария включают warcode.exe, загрузчик для Havoc framework, и NimShellcodeLoader для развертывания маяков Cobalt Strike. Они получают первоначальный доступ через вредоносные вложения в электронных письмах, особенно сжатые файлы с ярлыками, которые загружают дополнительные вредоносные скрипты, такие как PowerShell. Их операции включают как автоматизированные, так и ручные методы эксплуатации. Используются такие инструменты, как CreepDropper, загрузчик на основе .NET, и методы эксфильтрации данных с помощью Microsoft Graph API и Google Sheets. Более продвинутый инфостилер APT36, LuminousStealer, управляет файлами для эксфильтрации через базы данных SQLite. Они используют облачные сервисы для этапа хранения данных, что усложняет усилия по обнаружению их операций.

#ParsedReport #CompletenessHigh
05-03-2026

Aye-Coruna: Tracing the iOS Exploit Kit from Ukraine to Iran War Lures

https://www.validin.com/blog/aye_coruna_ios_exploit_kit_c2/

Report completeness: High

Threats:
Coruna_tool
Watering_hole_technique
Plasmagrid

Victims:
Apple iphone users, Crypto users, General web users

Industry:
Entertainment

Geo:
Iranian, Ukraine, Chinese, Ukrainian, Iran

ChatGPT TTPs:
do not use without manual check
T1071.001, T1105, T1189, T1203, T1204.001, T1583.001, T1584.001, T1584.005, T1608.004

IOCs:
IP: 3
Domain: 307
Hash: 8
Url: 11
File: 1

Wallets:
imtoken, safepal

Crypto:
bitcoin, solana

Algorithms:
sha1

Functions:
JavaScript

Languages:
javascript

Platforms:
apple

YARA: Found

Links:
https://github.com/matteyeux/coruna