#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Команда исследователей безопасности JFrog обнаружила злонамеренную кампанию, в рамках которой использовались два пакета NPM, маскирующиеся под Windows-исполняемые файлы, содержащие обфусцированный JavaScript и Python-скрипт для эксфильтрации данных, в первую очередь нацеленный на информацию пользователей из Discord, браузеров и криптовалютных кошельков. Этот вредоносный софт, называемый Cipher stealer, продемонстрировал возможности по загрузке дополнительных полезных нагрузок и обходу мер безопасности для захвата чувствительных учетных данных, особенно токенов Discord. Его методы эксфильтрации включали использование инфраструктуры командного и управляющего центров и онлайн-сервисов для передачи данных.
-----

Команда исследователей безопасности JFrog обнаружила зловредную кампанию, включающую два пакета в экосистеме NPM, которые выдавали себя за исполняемый файл Windows под названием "Solara" (версии 1.0.0 и 1.0.1). Эти пакеты содержали встроенный обфусцированный JavaScript, модули Node.js и скрипт на Python, предназначенный для эксфильтрации данных. Собранные данные в основном нацеливались на информацию о пользователе из Discord, веб-браузеров и криптовалютных кошельков.

Вредоносные файлы реализовали сценарий предварительной установки, который загрузил и выполнил дополнительные двоичные файлы из Dropbox. Хотя начальные сканирования VirusTotal выявили только один продукт антивируса, поведенческий анализ указал на подозрительную активность. Исполняемый файл продемонстрировал возможности, такие как загрузка установок фреймворка Python и доступ к различным пользовательским данным из браузеров и системных файлов Windows.

Мальвар, названный Cipher stealer, проявил несколько вызывающих тревогу черт. Например, его связь с различными платформами, такими как "FiveM", который предлагает многопользовательские модификации для игр, и его сходство с другими кампаниями вредоносного ПО вызывало красные флаги. Особенно стоит отметить, что обфусцированный JavaScript включал возможности для сохранения постоянства, создавая промежуточный каталог для украденных данных в каталоге %TEMP%, где вся собранная информация была сжата и подготовлена для эксфиляции.

Одним из значительных аспектов вредоносного ПО является его нацеливание на токены и учетные данные Discord. Оно реализовало процесс валидации в соответствии с API Discord для проверки токенов, хранящихся в базах данных LevelDB, используемых клиентами Discord и браузерами Chromium. Вредоносное ПО могло обходить защиту BetterDiscord и гарантировать, что токены и учетные данные могут быть отправлены на веб-хук Discord атакующего. Более того, оно скачивало второй этап полезной нагрузки с GitHub для улучшения своих стратегий кражи данных.

В плане кражи учетных данных в браузере, вредоносное ПО использовало JavaScript и встроенный скрипт на Python для извлечения конфиденциальных данных пользователей, включая файлы cookie, учетные данные для входа и финансовую информацию. Компонент на Python был призван поддерживать более широкий спектр браузеров, чем его аналог на JavaScript. Кроме того, вредоносное ПО пыталось расшифровать информацию о кошельках криптовалют, усиливая свои возможности для обширной эксфильтрации данных.

В конечном итоге, вредоносное ПО использовало различные методы эксфиляции, в основном через инфраструктуру командования и управления, одновременно используя онлайн-сервисы для передачи данных. Хотя быстрая детекция и удаление вредоносных пакетов были значительными, пользователям было рекомендовано предпринять дополнительные меры предосторожности, удалив вредоносное ПО, обновив учетные данные и переустановив затронутые приложения.

#ParsedReport #CompletenessMedium
16-03-2026

Winos4.0 malware disguised as KakaoTalk installation file

https://asec.ahnlab.com/ko/92924/

Report completeness: Medium

Threats:
Winos
Seo_poisoning_technique

Victims:
Kakaotalk users

Geo:
China

ChatGPT TTPs:
do not use without manual check
T1027, T1053.005, T1055, T1105, T1106, T1112, T1116, T1140, T1204.002, T1218.011, have more...

IOCs:
Url: 3
File: 12
Path: 2
IP: 2
Hash: 5

Soft:
KakaoTalk, Windows Defender, task scheduler, NET Framework

Algorithms:
md5

Functions:
CreateShortCut, WriteRegStr, TaskScheduler

Win API:
CreateMutexA, DllRegisterServer, VirtualAlloc

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, chart: 1, windows: 1, code: 2, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО Winos4.0 распространяется через SEO-поисковую атаку, выдавая себя за файл установки KakaoTalk. С момента своего появления 9 марта оно заразило более 5,000 устройств, используя недействительный сертификат для упаковки вредоносных компонентов с помощью NSIS. Вредоносное ПО выполняет вредоносные payload'ы, делает снимки экрана, управляет процессами и модифицирует стратегии сохранения в зависимости от наличия антивирусных программ, нацеливаясь в первую очередь на китайских пользователей через выполнение команд в реальном времени с его C2-сервера.
-----

Малварь Winos4.0 в настоящее время распространяется с помощью техники отравления поисковой оптимизации (SEO), при которой вредоносные сайты манипулируются, чтобы занимать высокие позиции в результатах поиска для надежного программного обеспечения, выдавая себя за установочный файл для KakaoTalk. Недавние отчеты подтверждают, что более 5,000 устройств были инфицированы этой малварью, которая впервые появилась 9 марта. Малварь маскируется под установщик KakaoTalk, в то время как на самом деле выполняет вредоносные действия после установки.

Когда пользователи загружают мошеннический установщик, они получают файл, который визуально брендирован как KakaoTalk, но на самом деле подписан недействительным сертификатом от "NetEase" вместо легитимной сертификации Kakao. Эта настройка использует NSIS (Nullsoft Scriptable Install System) для упаковки зашифрованных вредоносных компонентов, включая Verifier.exe и AutoRecoverDat.dll. Эти файлы настраиваются на создание исключений в Windows Defender, подрывая безопасность системы, и устанавливают постоянство на зараженных устройствах. На первый взгляд безобидный процесс установки предназначен для сокрытия вредоносных действий, создавая видимость легитимности, так как он помещает легитимный файл KakaoTalk_Setup.exe рядом с вредоносным исполняемым файлом.

Малварь выполняется по двум различным путям в зависимости от условий, установленных при начальной установке, направляя действия через ShellCode, содержащийся в файлах с именами Profiler.json и GPUCache.xml, запущенный соответственно Verifier.exe и AutoRecoverData.dll. После инициализации мьютекса для обеспечения уникального экземпляра, малварь решает, какой ShellCode загрузить на основе существования определенных условий. Если оба условия выполнены, он загружает файл GPUCache2.xml; если нет, он по умолчанию использует GPUCache.xml. Не зашифрованный ShellCode выполняет полезную нагрузку, которая включает другие DLL, что дополнительно способствует функциональности малвари.

Кроме того, вредоносное ПО проверяет наличие антивирусного программного обеспечения, в частности, оценивает китайский продукт ZhuDongFangYu, что подразумевает целенаправленный намерение распространения среди китайских пользователей. В зависимости от того, обнаружен ли продукт AV, оно изменяет свои механизмы сохранения, которые могут включать создание запланированных задач для поддержания выполнения через Verifier.exe и AutoRecoverData.dll.

Функционально, вредоносное ПО Winos4.0 позволяет злоумышленнику захватывать скриншоты, контролировать процессы системы, получать конфиденциальную информацию и загружать дополнительные вредоносные программы, избегая обнаружения. Оно оснащено для выполнения входящих команд с сервера командования и управления (C2), что указывает на гибкий подход к эволюции своей стратегии атаки на основе мониторинга в реальном времени. Этот инцидент подчеркивает уязвимости, связанные с полаганием только на результаты поисковых систем при загрузке программного обеспечения, подчеркивая необходимость для пользователей проверять официальные источники.

#ParsedReport #CompletenessMedium
16-03-2026

AI-Assisted Phishing Campaign Exploits Browser Permissions to Capture Victim Data

https://cyble.com/blog/ai-assisted-phishing-campaign/

Report completeness: Medium

Threats:
Credential_harvesting_technique

Victims:
Consumers, Social media users, Employees, Organizations

Industry:
Financial, Healthcare, Telco

TTPs:
Tactics: 6
Technics: 4

IOCs:
File: 8
IP: 11
Domain: 73

Soft:
Telegram, TikTok, Instagram, Google Chrome

Languages:
javascript

Links:
https://github.com/CRIL-ThreatIntelligence/IOCs/tree/main/AI-Assisted%20Phishing%20Uses%20Browser%20Permissions%20to%20Steal%20Data

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя фишинговая кампания использует усовершенствованные тактики, эксплуатируя разрешения браузера для захвата обширных данных жертв, включая живые изображения, аудио и информацию об устройстве, не требуя ввода учетных данных. Используя разнообразные приманки и платформы с подменой, атакующие используют Telegram Bot API для эксфильтрации данных, что отражает возможную интеграцию инструментов генеративного ИИ в их инфраструктуру. Этот сложный подход не только облегчает кражу личных данных, но и повышает риски для организаций, так как украденные биометрические данные могут быть использованы для подмены в различных коммуникациях.
-----

Недавняя фишинговая кампания продемонстрировала значительную эволюцию тактик киберугроз, используя разрешения браузера для захвата обширных данных жертв, выходящих за рамки традиционного кражи учетных данных. Кампания использует разнообразные уловки, такие как "ID Scanner," "Telegram ID Freezing," и "Health Fund AI," чтобы обмануть пользователей и заставить их предоставить разрешения на доступ к камере и микрофону под предлогом проверки или восстановления услуги. Как только разрешения получены, злоумышленники используют JavaScript для захвата живых изображений, видеозаписей, аудио с микрофона, информации об устройстве и контактных данных. Эта информация затем отправляется на инфраструктуру, контролируемую злоумышленниками, в основном с использованием Telegram Bot API для экстракции данных.

Фреймворк фишинга работает с использованием хостинговых услуг, таких как edgeone.app, что позволяет создавать множество целевых страниц, которые выдают себя за популярные платформы, такие как TikTok, Telegram и Google Drive. Фишинговые страницы специально запрашивают разрешения браузера для доступа к аппаратным возможностям, тем самым бесшумно захватывая конфиденциальные данные после согласия пользователя. Этот метод позволяет злоумышленникам подделывать согласие, собирая мультимедийный контент, включая изображения высокого разрешения и аудиофайлы, без необходимости ввода пользователями каких-либо учетных данных.

Примечательно, что анализ выявил потенциальные индикаторы кода, сгенерированного с помощью ИИ, в операционной логике кампании. Использование структурированных аннотаций и эмодзи указывает на то, что угрожающие акторы могут использовать инструменты генеративного ИИ для улучшения своих фишинговых фреймворков, что позволяет быстро разрабатывать и развертывать атаки. Сложность этого подхода соответствует более широкой тенденции смешивания тактики социального инжиниринга с передовыми технологиями, что увеличивает эффективность атак.

В результате кампания создает значительные риски не только для отдельных жертв, но и для организаций, поскольку собранные данные могут быть использованы для кражи личности, социальной инженерии и целевых фишинговых схем. Операционная сложность заметно низка, так как злоумышленники получают выгоду от интеграции фишинговых комплектов с Telegram, что упрощает процесс извлечения данных и минимизирует потребности в бэкенд-инфраструктуре.

Последствия этой кампании имеют далеко идущие последствия; похищенные биометрические данные могут быть использованы для выдачи себя за другого в видеокоммуникациях и аудиосообщениях, значительно увеличивая угрозу для различных сектор, включая банковский сектор и социальные медиа. Это сближение злонамеренной деятельности отражает тревожный сдвиг в сторону высококачественных тактик кражи личных данных, которые могут коренным образом подорвать существующие механизмы безопасности и процессы верификации, подчеркивая необходимость повышенной бдительности против таких сложных фишинг-техник.

#ParsedReport #CompletenessHigh
12-03-2026

Endgame Harvesting: Inside ACRStealers Modern Infrastructure

https://blog.gdatasoftware.com/2026/03/38385-acr-stealer-infrastructure

Report completeness: High

Threats:
Acr_stealer
Hijackloader
Dead_drop_technique
Process_injection_technique
Process_hollowing_technique
Lumma_stealer

Victims:
Gaming platforms users, Browser users, Steam users

Industry:
Entertainment

Geo:
Germany, Mongolia, Usa

ChatGPT TTPs:
do not use without manual check
T1016, T1027, T1041, T1055, T1055.012, T1059.001, T1071.001, T1082, T1105, T1106, have more...

IOCs:
File: 13
IP: 1
Domain: 1
Url: 1
Hash: 2

Soft:
Steam, Chrome, Discord

Algorithms:
base64, aes-256, zip, aes

Functions:
connect, GetArrayField, PowerShell

Win API:
NtCreateFile, NtDeviceIoControlFile, AcquireCredentialsHandleA, InitializeSecurityContextA, EncryptMessage, NtOpenFile, NtQueryDirectoryFile, NtDelayExecution, CryptUnprotectData, CopyFileA, have more...

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Зловред ACRStealer, интегрированный в HijackLoader, усовершенствовал свои методы уклонения, используя низкоуровневые NTCalls и системные вызовы WoW64 для скрытного выполнения, уменьшая риски обнаружения. Теперь он использует NTSockets и Ancillary Function Driver для связи с C2, смешивая свой трафик с легитимным HTTPS для усложнения обнаружения. Разработанный для извлечения конфиденциальных данных, включая информацию о браузере и играх, ACRStealer использует метод hollowing процессов и команды PowerShell для выполнения вторичного полезного груза, указывая на широкомасштабную и развивающуюся угрозу.
-----

Вредоносное ПО ACRStealer, теперь интегрированное в инфраструктуру HijackLoader, развило свои возможности и стратегии развертывания, акцентируя внимание на усовершенствованных техниках уклонения. Изначально сообщалось о нем как о предложении Malware as a Service (MaaS), этот новый вариант использует более низкоуровневые NTCalls и WoW64 syscalls вместо традиционных Win32 APIs для достижения скрытого выполнения, тем самым снижая риск обнаружения системами защиты конечных точек. Вредоносное ПО находит ntdll.dll, разрешает имена функций через модифицированную хеш-функцию djb2 и использует переходные ворота для обхода хуков пользовательского режима во время работы.

Что касается связи командования и управления (C2), ACRStealer переключился с использования Dead Drop Resolver (DDR) на использование NTSockets и Ancillary Function Driver (AFD). Путем ручного построения родного пути AFD вредоносное ПО избегает использования высокоуровневых API и улучшает свою способность устанавливать соединения скрытно. Такая настройка C2 позволяет ACRStealer смешивать свой трафик с легитимным HTTPS-трафиком, что ещё больше усложняет усилия по обнаружению.

ACRStealer тщательно разработан для извлечения различных видов конфиденциальной информации, нацеливаясь не только на данные браузера, но и на данные игроков, такие как аккаунты Steam. Его конфигурация управляется восемью короткими строками ключей, которые определяют выполняемые задачи, позволяя ему идентифицировать и извлекать такие файлы, как ключи шифрования браузера, используя системные вызовы NT. Этот вредоносный программное обеспечение выполняет эти извлечения, рекурсивно просматривая пользовательские профили, используя метод расшифровки артефактов браузера через DPAPI и применяя передовые техники, такие как обход шифрования, привязанного к приложению, чтобы получить доступ к сырым мастер-ключам AES из предыдущих версий браузера.

Дальнейшие возможности включают эксфильтрацию данных для входа, файлов cookie и комплексный процесс отпечатков жертвы. Замечательно, что вредоносное ПО также обрабатывает выполнение вторичных полезных нагрузок через команды PowerShell и техники опустошения процессов, демонстрируя сложную среду выполнения, которая эффективно скрывает злонамеренные намерения.

Операционные схемы ACRStealer указывают на широкое распространение инфекций, особенно в США, Монголии и Германии, с телеметрией, свидетельствующей о продолжающейся активности и устойчивых соединениях с определенными IP-адресами. Недавний анализ показывает, что он постоянно эволюционирует, чтобы избежать обнаружения, о чем свидетельствует его взаимодействие с легитимными платформами и текущие адаптации в методах распространения через веб-сайты, связанные с играми, социальными медиа и облачными услугами.

Более того, постоянство ACRStealer указывает на то, что угроза, исходящая от актеров угроз за инфраструктурой PiviGames, остается активной, использующей развивающиеся стратегии для нацеливания на пользователей в популярных игровых и социальных средах, с конечной целью компрометации чувствительных данных через различные и тактические средства. Это свидетельствует о продолжающемся ландшафте угроз, создаваемом такими адаптивными вариантами вредоносного ПО, подчеркивая необходимость постоянного мониторинга и усовершенствованных защитных мер.

#ParsedReport #CompletenessLow
16-03-2026

LiveChat Abuse: How Phishers Are Exploiting SaaS Support Tools to Steal Sensitive Data

https://cofense.com/blog/livechat-abuse-how-phishers-are-exploiting-saas-support-tools-to-steal-sensitive-data

Report completeness: Low

Victims:
Consumers, Paypal users, Amazon customers

ChatGPT TTPs:
do not use without manual check
T1204.001, T1566.002

IOCs:
Domain: 1
Url: 6
IP: 12

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя фишинговая кампания использует LiveChat для извлечения чувствительной информации, выдавая себя за известные бренды. Злоумышленники используют убедительные электронные уловки, такие как фальшивые возвраты по PayPal и срочные обновления заказов на Amazon, направляя жертв на фишинговые страницы, которые хитро имитируют законные взаимодействия со службой поддержки клиентов. Эти страницы запрашивают критически важные данные, включая данные кредитных карт и коды многофакторной аутентификации, используя тактики социального инжиниринга для манипуляции пользователями и побуждая их раскрывать чувствительную информацию.
-----

Центр защиты от фишинга Cofense сообщил о фишинговой кампании, которая использует LiveChat, инструмент SaaS для поддержки клиентов, чтобы обмануть пользователей и извлечь конфиденциальную информацию. Атакующие выдают себя за известные бренды через интерфейсы чата в реальном времени, нацеливаясь на жертв, чтобы получить конфиденциальные данные, такие как учетные данные, номера кредитных карт, коды многофакторной аутентификации (MFA) и личная информация (PII).

Кампания включает в себя электронные письма, разработанные с различными уловками, включая одно, имитирующее возврат PayPal на сумму $200, и другое, которое создает ощущение срочности в отношении заказа Amazon. Оба письма используют тактики социальной инженерии, которые капитализируют на любопытстве получателя и инстинкте получения финансовой выгоды или страхе упустить что-то важное. При нажатии на гиперссылки "Посмотреть детали транзакции" или "Посмотреть обновление" пользователи перенаправляются на фишинговые страницы, размещенные на сервисе LiveChat, с доменом lc.chat. Эти страницы хитро скрывают свои намерения, при этом страница на тему PayPal использует модель взаимодействия на основе ИИ, а страница на тему Amazon запрашивает у пользователей их электронную почту перед началом разговора.

Когда пользователи взаимодействуют с настройкой чата в реальном времени, их убаюкивают в ложное чувство безопасности, принимая его за легитимное обслуживание клиентов. Сложность атаки очевидна, так как она напрямую запрашивает полную информацию о кредитной карте и код MFA, связанный с аккаунтом жертвы. Этот шаг направлен на укрепление кражи учетных данных и обеспечение постоянного доступа к финансовым счетам пользователя. После этого жертвы также получают успокаивающие сообщения, указывающие на то, что их возврат скоро будет произведен, что еще больше манипулирует их доверием.

Эволюционирующая природа фишинговых угроз подчеркивает необходимость постоянного анализа, проводимого людьми. Атакующие искусно совершенствуют свои стратегии, чтобы обойти автоматизированные системы обнаружения, часто создавая сообщения, которые могут легко обмануть даже бдительных пользователей. Это явление демонстрирует сложность современных фишинговых тактик, которые все чаще сочетают в себе имитацию брендов, социальную инженерию и механизмы кражи данных. Необходимость в надежных системах разведки угроз, таких как те, что предоставляются специализированными командами защиты от фишинга, более критична, чем когда-либо, для эффективной борьбы с этими угрозами до того, как они приведут к значительному ущербу.

#ParsedReport #CompletenessLow
10-03-2026

Uncovering a New Device Code Phishing Campaign

https://newtonpaul.com/blog/device-code-phishing-campaign/

Report completeness: Low

Threats:
Device_code_phishing_technique

Victims:
Microsoft 365 users, Entra users

Industry:
Iot

Geo:
Monaco

ChatGPT TTPs:
do not use without manual check
T1071.001, T1204.001, T1566.002, T1583.006, T1656

IOCs:
Url: 2
File: 9
Domain: 24
Email: 24

Soft:
Microsoft Teams, Android

Functions:
sf, getElementById, setTimeout, writeText

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинг-кампания использует аутентификацию по коду устройства Microsoft, отправляя фишинговые письма, которые перенаправляют пользователей на домен Cloudflare. Нападающий имитирует страницу загрузки документа Adobe, побуждая пользователей ввести код подтверждения, который обрабатывается через конечную точку кода устройства Microsoft. В частности, URL-адреса, подготовленные для этой кампании, включают адрес электронной почты отправителя для повышения доверия, нацеливаясь на такие приложения, как Azure CLI для значительного доступа после аутентификации.
-----

Недавняя фишинговая кампания была обнаружена, которая использует аутентификацию на основе кода устройства Microsoft, легитимный механизм, который часто применяется для устройств с ограниченными возможностями ввода, таких как оборудование IoT. Кампания в частности использует поток OAuth от Microsoft, представляя целям фишинговые электронные письма с URL-адресами, направленными на домен Cloudflare workers.dev. Примечательно, что эти URL содержат параметр URI, который имитирует правдоподобный контекст, усиливая обманные тактики злоумышленника.

Фишинг-страница, созданная в этой кампании, имитирует страницу загрузки документа Adobe, побуждая пользователей подтвердить свою личность, введя код проверки. Кнопка «Продолжить к Microsoft» перенаправляет жертв на реальную страницу аутентификации Microsoft по адресу https://login.microsoftonline.com/common/oauth2/deviceauth. Эта страница предлагает пользователям ввести код устройства, что атакующие облегчают через свою Backend, выполняя POST-запрос к конечной точке кода устройства Microsoft. По запросу создаётся идентификатор сеанса для управления циклом аутентификации, который включает в себя непрерывное опрашивание для получения новых кодов устройства, поскольку оригинальные коды истекают примерно через десять минут.

Отличительной характеристикой этой фишинговой кампании является конструкция фишинговых URL-адресов. URL-адреса содержат адрес электронной почты отправителя, что, вероятно, является преднамеренной тактикой для повышения доверия к фишинговой попытке. Кроме того, после того как пользователь вводит свой код устройства, его направляют подтвердить свою аутентификацию, показывая название приложения, к которому осуществляется доступ, и местоположение запроса. Такие приложения, как Azure CLI, находятся в особой целевой группе, предоставляя значительные уровни доступа аутентифицированным пользователям.

Для обнаружения таких фишинговых активностей была предложена стратегия поведенческого обнаружения, названная "First-Time Device Code Auth - No Prior History hunt-2025-043." Эта методология включает в себя анализ журналов аутентификации пользователей за 30-дневный период для идентификации первого использования аутентификации с использованием кода устройства, особое внимание обращая на пользователей, чьи попытки аутентификации были успешными. Этот подход фильтрации нацелен только на успешные аутентификации, отмечая их как высоконадежные индикаторы потенциального фишингового компрометации. Такие аналитические техники жизненно важны для специалистов в области кибербезопасности, чтобы защищаться от этих сложных фишинговых стратегий.

#ParsedReport #CompletenessMedium
16-03-2026

Introduction

https://lorenzomeacci.com/bypassing-edr-in-a-crystal-clear-way

Report completeness: Medium

Threats:
Cobalt_strike_tool
Crystal_palace_tool
Meteor_wiper
Crystal-kit_tool
Rubeus_tool
Powerpick_tool
Process_hollowing_technique
Dll_injection_technique
Reflectiveloader
Havoc

Victims:
Edr vendors, Cobalt strike users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.009, T1036.004, T1055.012, T1070.004, T1106, T1218.011, T1620, T1622, T1622.002, have more...

IOCs:
File: 10

Soft:
Event Tracing for Windows

Algorithms:
ror13, xor

Functions:
go, Win32, findModuleByHash, findFunctionByHash, __resolve_hook, ReflectiveLoader

Win API:
MessageBox, MessageBoxA, LoadLibraryA, GetProcAddress, VirtualAlloc, SleepEx, NtDelayExecution, RtlAddFunctionTable, NtMapViewOfSection, NtCreateSection, have more...

Languages:
java

Platforms:
x64

YARA: Found

Links:
https://github.com/kapla0011/KaplaStrike
have more...

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4