#ParsedReport #ExtractedSchema

Classified images:
dump: 1, schema: 4, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Российская APT-компания FancyBear провела операцию Roundish, используя ошибки операционной безопасности, в результате которых в начале 2026 года был обнаружен открытый каталог с более чем 2800 электронными письмами и 240 наборами украденных учетных данных. Злоумышленники использовали такие методы, как создание Правил пересылки эл. почты и использование уязвимостей XSS на нескольких платформах веб-почты для скрытой переадресации сообщений и извлечения учетных данных, в том числе в обход двухфакторной аутентификации. Эта кампания была нацелена на правительственные и военные организации в Восточной Европе, выявив значительную инфраструктуру командования и контроля, которая оставалась активной более 500 дней после присвоения.
-----

В опубликованных выводах о FancyBear, российской сложной целенаправленной угрозе (APT), подробно описывается значительное нарушение оперативной безопасности в ходе кампании, известной как операция Roundish. Этот анализ был основан на открытом каталоге, опубликованном в январе 2026 года, в котором были обнаружены обширные данные, включая более 2800 электронных писем и 240 наборов украденных учетных данных. Методы эксфильтрации, используемые FancyBear, включали в себя создание правил пересылки в Учетных записях эл. почты жертв, что позволяло автоматически перехватывать и перенаправлять электронные письма в почтовые ящики, контролируемые злоумышленниками.

FancyBear был нацелен на правительственные и военные структуры в нескольких странах Восточной Европы, включая Украину и членов НАТО, таких как Румыния и Болгария. Оперативная ошибка позволила аналитикам получить беспрецедентный доступ к инфраструктуре командования и контроля (C2) FancyBear, размещенной на американском VPS, которая оставалась работоспособной более 500 дней после публичного приписывания операций, связанных с ГРУ. Разоблаченный C2 выявил критические компоненты, ответственные за различные вредоносные действия, включая ведение журнала телеметрии, распространение вредоносного ПО и кражу учетных данных.

Несколько платформ веб-почты были подвергнуты компрометации с помощью уязвимостей межсайтового скриптинга (XSS), а обнаружение новой полезной нагрузки SquirrelMail указывает на более широкий охват таргетинга, чем сообщалось ранее. Конкретные наблюдаемые методы включали использование модульных полезных нагрузок JavaScript для инициирования кражи учетных данных и эксфильтрации данных без взаимодействия с пользователем, просто жертвами, получающими вредоносные электронные письма. Особую тревогу вызвала возможность скрытого сбора больших объемов электронных писем и списков контактов, а также внедрение системы, которая могла обходить двухфакторную аутентификацию (2FA) путем извлечения секретов TOTP из настроек Roundcube.

Дальнейшее расследование привело к выявлению нескольких признаков компрометации, включая IP-адреса, привязанные к операциям C2, и псевдонимы, используемые для фишинга, которые выдавали себя за законные организации. Анализ показал структурированный подход к привлечению ресурсов и сосредоточение внимания на адаптации тактики в ответ на внешнюю проверку, демонстрируя как продвинутый набор навыков, лежащих в основе операций FancyBear's, так и их оперативную халатность, что позволило проанализировать их методы и профили жертв.

Геополитические последствия моделей нацеливания также были заметны, что соответствовало военным стратегиям в регионе, особенно в отношении государств НАТО и их участия в поддержке Украины. Собранные данные могли бы выявить обширные сети конфиденциальных коммуникаций внутри этих правительственных учреждений, подчеркивая критический характер защитных мер и мониторинг потенциальной деятельности APT в режиме реального времени.

#ParsedReport #CompletenessHigh
18-03-2026

Vidar Stealer 2.0 distributed via fake game cheats on GitHub and Reddit

https://www.acronis.com/en/tru/posts/vidar-stealer-20-distributed-via-fake-game-cheats-on-github-and-reddit/

Report completeness: High

Threats:
Vidar_stealer
Lumma_stealer
Rhadamanthys
Polymorphism_technique
Dead_drop_technique
Process_injection_technique
Arkei_stealer
Ps2exe_tool
Themida_tool
Dll_injection_technique

Victims:
Gamers, Gaming community

Industry:
Entertainment, Healthcare, E-commerce

Geo:
Korea, China

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1012, T1027, T1033, T1036.005, T1041, T1055, T1055.012, T1059.001, T1059.003, have more...

IOCs:
File: 16
Hash: 12
Url: 6
Command: 1

Soft:
twitter, Telegram, Discord, Steam, Fortnite, Valorant, Windows Defender, Microsoft Defender, Outlook, Google Chrome, have more...

Crypto:
monero

Algorithms:
aes, zip

Win API:
CryptUnprotectData, LoadLibraryA, IsDebuggerPresent, CheckRemoteDebuggerPresent, NtQueryInformationProcess, GetTickCount, GetSystemMetrics

Languages:
autoit, powershell

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
windows: 14, schema: 4, code: 40, dump: 8

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Vidar Stealer 2.0 - это вредоносное ПО, нацеленное на геймеров с помощью поддельных игровых читов на таких платформах, как GitHub и Reddit, заполняя пробел, оставленный предыдущими стиллерами. Он извлекает конфиденциальную информацию, такую как учетные данные браузера, сведения о криптовалюте и данные из таких приложений, как Телеграм и Discord, используя сложные методы распространения, которые используют наивность пользователей. Технически он реализован на C, использует polymorphic сборки, чтобы избежать обнаружения, и использует расширенную обфускацию и многопоточность для расширения возможностей кражи данных.
-----

Vidar Stealer 2.0 стал серьезной угрозой в мире вредоносного ПО, особенно нацеленной на видеоигр, распространяясь с помощью поддельных игровых читов на различных платформах, включая GitHub и Reddit. После действий правоохранительных органов против предыдущих доминирующих стиллеров информации, таких как Lumma и Rhadamanthys, Vidar заполнил образовавшуюся пустоту, воспользовавшись спросом геймеров на читы. Это эффективно использует нежелание пользователей сообщать о подозрительных действиях из-за незаконного характера читов и потенциальной денежной стоимости игровых аккаунтов, подвергшихся компрометации.

Vidar Stealer 2.0 - это сложное вредоносное ПО, которое может извлекать широкий спектр конфиденциальной информации, включая учетные данные браузера, файлы cookie, данные автозаполнения, данные криптовалютного кошелька и локальные файлы. Его возможности также распространяются на кражу учетных данных из популярных приложений, таких как Телеграм и Discord, что делает его особенно привлекательным для киберпреступников, стремящихся использовать игровые платформы и платформы Социальных сетей. Методы распространения вредоносного ПО включают в себя сложные схемы, в которых Вредоносные ссылки часто маскируются под привлекательные предложения бесплатных читов, эксплуатируя жадность и наивность пользователей.

Технически, Vidar 2.0 демонстрирует полную переработку с C++ на C, вводя функции, которые повышают его производительность и позволяют избежать обнаружения. Включение polymorphic сборок гарантирует, что каждый экземпляр вредоносного ПО может выглядеть по-разному, что усложняет статический анализ. Многопоточное выполнение обеспечивает эффективную кражу данных, повышая скорость их работы. Передовые методы запутывания еще больше затрудняют анализ и обнаружение, в то время как инфраструктура управления (C2) умело использует ботов Телеграм и профили Steam для маскировки своих операций.

Вредоносное ПО распространяется по нескольким каналам, включая поддельные репозитории на GitHub, где зараженные двоичные файлы маскируются под игровые читы. Анализ исходной полезной нагрузки показывает, что она часто объединяет скомпилированные в нее скрипты PowerShell .Сетевые двоичные файлы, позволяющие ему обходить основные меры безопасности. После активации вредоносное ПО создает скрытые каталоги, добавляет исключения в Защитник Windows и извлекает дополнительную полезную нагрузку из различных источников.

В частности, процесс заражения начинается с того, что жертвы получают то, что, по их мнению, является законным программным обеспечением для обмана. После запуска вредоносное ПО использует передовые методы для сбора конфиденциальной информации из их систем. Например, он нацелен на современные веб-браузеры посредством прямой интеграции и выполняет инъекционные атаки для беспрепятственного извлечения сохраненных учетных данных. Дизайн Vidar's непосредственно соответствует меняющемуся ландшафту стиллеров информации, демонстрируя его устойчивость и адаптивность перед лицом контрмер.

Поскольку угроза, исходящая от стиллеров информации, таких как Vidar, сохраняется, это подчеркивает необходимость надежных стратегий защиты конечных точек, постоянного мониторинга и информирования пользователей о рисках, связанных с поиском несанкционированного программного обеспечения.

#ParsedReport #CompletenessLow
18-03-2026

Opportunistic threat actors using Ramadan coupon as a lure to target retail store customers in Middle East

https://www.cloudsek.com/blog/opportunistic-threat-actors-using-ramadan-coupon-as-a-lure-to-target-retail-store-customers-in-middle-east

Report completeness: Low

Victims:
Retail customers, Windows users

Industry:
Retail

Geo:
Egyptian, Saudi, Middle east

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1059.005, T1071.001, T1105, T1113, T1204.002, T1218.011, T1566.001, T1567.002, have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложная вредоносная кампания нацелена на розничных покупателей на Ближнем Востоке во время Рамадана, используя тактику социальной инженерии, которая представляет поддельное предложение о скидке с помощью вредоносного документа. При выполнении документа запускается макрос VBA, который устанавливает загрузчик C#, подключающийся к серверу C2, что облегчает выполнение Троянской программы удаленного доступа (RAT) с именем Ftu4You, которая обеспечивает обширный удаленный доступ и эксфильтрацию данных по заранее заданным URL-адресам AWS S3 в обход стандартных методов обнаружения. Вредоносное ПО обеспечивает такие функции, как передача файлов, просмотр файловой системы и захват скриншотов.
-----

Недавний анализ детализирует сложную вредоносную кампанию, нацеленную на розничных покупателей на Ближнем Востоке, использующую сезон Рамадан с помощью, казалось бы, безобидного рекламного предложения. Злоумышленники используют социально сконструированную приманку, представляя поддельный код скидки с помощью вредоносного документа, который, по-видимому, взят с AlCoupon, известного египетского сайта купонов. Эта приманка направлена на то, чтобы заманить пользователей скидками от известных розничных сетей, используя заманчивый розыгрыш корзины для Рамадана стоимостью 2000 египетских фунтов стерлингов.

При выполнении документа он запускает скрытый макрос Visual Basic для приложений (VBA), который инициирует многоэтапную атаку. Этот макрос облегчает установку загрузчика C#, который подключается к серверу управления (C2) для получения исходной сборки Microsoft Intermediate Language (MSIL). Эта полезная нагрузка компилируется непосредственно на компьютере жертвы и выполняется с помощью утилиты "rundll32", которая облегчает загрузку DLL-файлов и улучшает скрытное выполнение вредоносного ПО.

Основная полезная нагрузка идентифицирована как Троянская программа удаленного доступа (RAT) с именем Ftu4You. Этот RAT предназначен для поддержания надежной связи с выделенной панелью C2 по протоколу HTTPS, позволяя злоумышленникам устанавливать постоянный удаленный доступ к системам компрометации. Его функциональные возможности обширны, включая полноэкранный захват скриншотов, удаленный просмотр файловой системы, двунаправленную передачу файлов и управление активными сеансами. Примечательной особенностью этого вредоносного ПО является его механизм эксфильтрации файлов, который направляет все данные — такие как скриншоты и документы — по заранее заданным URL-адресам AWS S3. Этот подход предназначен для обхода традиционных методов обнаружения на сетевом уровне, включая проверку трафика и средства предотвращения потери данных на уровне домена.

#ParsedReport #CompletenessHigh
18-03-2026

Analysis of the Spear-Phishing and KakaoTalk-Linked Threat Campaign by the Konni Group

https://www.genians.co.kr/en/blog/threat_intelligence/kakaotalk

Report completeness: High

Actors/Campaigns:
Konni (motivation: information_theft)
Poseidon

Threats:
Spear-phishing_technique
Endrat
Rftrat
Remcos_rat

Victims:
General users of kakaotalk, Government and policy community

Geo:
North korea, North korean, Finland, Japan, Netherlands

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036.007, T1041, T1053.005, T1055, T1056.001, T1059.001, T1060, T1071.001, have more...

IOCs:
File: 5
Domain: 1
Path: 11
IP: 4
Hash: 7

Soft:
KakaoTalk, Task Scheduler

Algorithms:
exhibit, xor, rc4, zip, md5

Functions:
GETFILELIST, SCANDIRECTORY, DOWNLOADPROCESS

Win API:
WriteFile, PeekNamedPipe, ReadFile

Languages:
autoit, powershell

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, windows: 1, code: 3, dump: 3, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя многоэтапная атака Konni Group's использовала тактику Целевого фишинга, в частности, с помощью электронного письма, замаскированного под уведомление о встрече, в результате чего жертвы запускали вредоносный файл LNK, который устанавливал вредоносное ПО EndRAT. Это вредоносное ПО собирало конфиденциальную информацию и использовало приложение KakaoTalk для дальнейшего распространения Вредоносных файлов. В кампании использовались передовые технологии, такие как PowerShell для скрытых операций, запланированные задачи для закрепления и распределенная инфраструктура угроз для уклонения от обнаружения, а методы связи скрывали вредоносный трафик с помощью пользовательских протоколов сокетов.
-----

Анализ недавней преступной хакерской кампании, атрибутируемой с Konni Group, выявляет сложную многоэтапную атаку, использующую тактику Целевого фишинга, в частности, с использованием электронного письма, Маскировки под уведомление о встрече с северокорейским лектором по правам человека. После успешного фишинга жертва запустила вредоносный LNK-файл, который запустил загрузку и установку вредоносного ПО для удаленного доступа. Это вредоносное ПО, идентифицированное как вариант EndRAT, оставалось скрытым в пораженной системе, где оно собирало конфиденциальные данные и внутренние документы.

Как только был установлен первоначальный доступ, злоумышленник воспользовался приложением KakaoTalk жертвы, злоупотребляя активными сеансами обмена сообщениями для дальнейшего распространения вредоносных файлов среди контактов в списке друзей жертвы. Изощренность этой кампании заключалась в использовании контента на северокорейскую тематику для укрепления доверия и облегчения вторичного распространения, эффективно превращая жертв в переносчиков более масштабных атак.

Вредоносное ПО использовало вредоносный файл LNK, который при запуске использовал PowerShell для скрытых операций, загружая дополнительные полезные данные с сервера управления (C2). Файл был сконструирован таким образом, чтобы он отображался как доброкачественный PDF-документ при выполнении команд для реализации удаленного доступа и поддержания закрепления с помощью таких методов, как запланированные задачи.

Механизмы закрепления включали создание запланированных задач, которые выполняли сценарии автоматического запуска, при этом вредоносное ПО устанавливало уникальный мьютекс для предотвращения множественных экземпляров и обеспечения стабильной связи с сервером C2. Более того, инфраструктура угроз носила распределенный характер, используя различные IP-адреса в нескольких странах для повышения устойчивости к обнаружению.

Варианты троянцев, использованные в этой кампании, включали EndRAT, RftRAT и RemcosRAT, с методами связи, соответствующими более ранним версиям семейства EndRAT, использующими пользовательские протоколы сокетов через HTTP для сокрытия вредоносного трафика. Автоматизированный сбор данных системы осуществлялся с помощью закодированных сообщений, передаваемых на сервер C2, что свидетельствует о проактивном подходе к сохранению плацдарма и сбору разведывательной информации.

Анализ подчеркивает необходимость того, чтобы организации укрепляли свою систему безопасности от подобных угроз, используя системы обнаружения и реагирования, основанные на поведении, особенно те, которые способны обнаруживать аномалии, выходящие за рамки традиционных методов, основанных на сигнатурах. Усиленная подготовка и политика, направленные на ограничение рисков, связанных с такой целенаправленной тактикой социальной инженерии, также имеют решающее значение для смягчения этих сложных целенаправленных угроз. Этот инцидент иллюстрирует эволюционирующую природу киберугроз и важность разработки всеобъемлющих стратегий обнаружения, реагирования и восстановления.

#ParsedReport #CompletenessHigh
18-03-2026

The Proliferation of DarkSword: iOS Exploit Chain Adopted by Multiple Threat Actors

https://cloud.google.com/blog/topics/threat-intelligence/darksword-ios-exploit-chain/

Report completeness: High

Actors/Campaigns:
Unc6353 (motivation: cyber_espionage)
Unc6748

Threats:
Darksword_exploitkit
Ghostblade
Ghostknife
Ghostsaber
Coruna_tool
Watering_hole_technique

Victims:
Mobile users, Civilians

Industry:
Government, Healthcare

Geo:
Turkey, Malaysia, Russian, Turkish, Ukrainian, Saudi arabia, Ukraine, Saudi arabian

CVEs:
CVE-2025-43520 [Vulners]
CVSS V3.1: 7.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apple ipados (<18.7.2, <26.1)
- apple iphone_os (<18.7.2, <26.1)
- apple macos (<14.8.2, <15.7.2, <26.1)
- apple tvos (<26.1)
- apple visionos (<26.1)
have more...
CVE-2025-31277 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apple safari (<18.6)
- apple ipados (<18.6)
- apple iphone_os (<18.6)
- apple macos (<15.6)
- apple tvos (<18.6)
have more...
CVE-2025-14174 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<143.0.7499.110)

CVE-2025-43529 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apple safari (<26.2)
- apple ipados (<18.7.3, <26.2)
- apple iphone_os (<18.7.3, <26.2)
- apple macos (<26.2)
- apple tvos (<26.2)
have more...
CVE-2026-20700 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apple ipados (<26.3)
- apple iphone_os (<26.3)
- apple macos (<26.3)
- apple tvos (<26.3)
- apple visionos (<26.3)
have more...
CVE-2025-43510 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apple ipados (<18.7.2, 26.0)
- apple iphone_os (<18.7.2, 26.0)
- apple macos (<14.8.2, <15.7.2, 26.0)
- apple tvos (<26.1)
- apple visionos (<26.1)
have more...

TTPs:
Tactics: 5
Technics: 0

IOCs:
Domain: 5
File: 75
IP: 2
Hash: 1

Soft:
Chrome, EvalJs, iMessage, Telegram, WhatsApp, Outlook

Algorithms:
aes, ecdh

Functions:
TextDecoder, getJS, canUseApplePay, supportsWebGL2, getDeviceInputInfo, deleteCrashReports, startSandworm

Languages:
javascript

Platforms:
apple

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Цепочка эксплойтов DarkSword нацелена на iOS версий с 18.4 по 18.7, используя шесть уязвимостей zero-day, включая значительные уязвимости RCE и выходы из "песочницы". Эта цепочка эксплойтов, развернутая различными злоумышленниками, включая спонсируемые государством группы, способствовала полной компрометации устройств и использованию трех семейств вредоносных ПО: GHOSTBLADE, GHOSTKNIFE и GHOSTSABER. Кампании охватывали множество стран, при этом злоумышленники использовали запутанный JavaScript и различные оперативные меры безопасности для распространения эксплойтов и эксфильтрации данных.
-----

Google Threat Intelligence Group (GTIG) выявила сложную цепочку эксплойтов под названием DarkSword, специально предназначенную для iOS версий с 18.4 по 18.7. Этот эксплойт включает в себя множество уязвимостей zero-day, обеспечивающих полную компрометацию устройства. С конца 2025 года DarkSword использовался несколькими злоумышленниками, включая коммерческих поставщиков средств слежки и предположительно спонсируемые государством группы, в различных кампаниях против целей в Саудовской Аравии, Турции, Малайзии и Украине. Было замечено, что три семейства вредоносных ПО, GHOSTBLADE, GHOSTKNIFE и GHOSTSABER, были развернуты после успешного проникновения.

Цепочка эксплойтов DarkSword использует комбинацию из шести уязвимостей, включая два эксплойта для Удаленного Выполнения Кода (RCE) в JavaScriptCore, которые используются для обхода механизмов безопасности и выполнения произвольного кода. К значительным уязвимостям относятся CVE-2025-31277, ошибка повреждения памяти, и CVE-2026-20700, обход кодов аутентификации указателя пользовательского режима (PAC), о которых сообщалось и которые были исправлены Apple в последующих обновлениях iOS. Кроме того, уязвимости в ядре iOS были использованы для выхода из "песочницы", что облегчило более широкий доступ к системе.

В начале ноября 2025 года было отмечено, что кластер злоумышленников UNC6748 нацелился на пользователей из Саудовской Аравии с помощью вредоносного веб-сайта Snapchat. В их эксплуатации использовался запутанный код JavaScript, чтобы направить жертв к доставке модулей RCE от DarkSword. Первоначальные кампании продемонстрировали зависимость от CVE-2025-31277 и CVE-2026-20700, прежде чем добавить дополнительные эксплойты, которые соответствовали проверке версий устройств, хотя и с выявляемыми недостатками в логике.

Другой актор, турецкая фирма PARS Defense, продемонстрировала более надежную систему оперативной безопасности в своих кампаниях, зашифровав сообщения с использованием эксплойтов и внедрив методы снятия отпечатков пальцев с устройств. Результатом их деятельности стало внедрение GHOSTSABER, бэкдора с различными возможностями эксфильтрации данных. В январе 2026 года последующая деятельность, связанная с PARS Defense в Малайзии, выявила использование более сложных механизмов загрузки и конфигураций команд, некоторые из которых оказались неполными.

Российский актор UNC6353 еще больше использовал DarkSword в атаке watering hole, нацеленной на украинских пользователей, развернув GHOSTBLADE, менее универсальный инструмент сбора данных, который собирает ряд данных с устройств, но не обладает широкими функциональными возможностями, присутствующими в GHOSTKNIFE и GHOSTSABER. Способ действия включал внедрение скриптов на украинские веб-сайты, подвергшиеся компрометации, которые при посещении пользователями облегчали загрузку вредоносных полезных файлов.

Механизмы доставки эксплойтов различными акторами демонстрируют как общую логику шаблонов, так и уникальные модификации, адаптированные к конкретным операционным требованиям. Хотя были отмечены несоответствия в том, как выбирались этапы RCE, это может означать различия в зрелости эксплуатации или адаптации по сравнению с первоначальной логикой разработчика.

#ParsedReport #CompletenessMedium
18-03-2026

Stryker Cyberattack: What You Need to Know

https://socradar.io/blog/stryker-cyberattack-what-you-need-to-know/

Report completeness: Medium

Actors/Campaigns:
Handala-hacking-team (motivation: propaganda)
Void_manticore

Threats:
Credential_harvesting_technique
Adrecon_tool
Netbird_tool
Handala_wiper

Victims:
Stryker, Healthcare sector, Medical technology sector, Manufacturing operations, Shipping operations, Order processing

Industry:
Healthcare, Transport, Government, Military

Geo:
Iran, Israel, Iranian, Israeli

ChatGPT TTPs:
do not use without manual check
T1003.001, T1021.001, T1059.001, T1078, T1098, T1105, T1119, T1485, T1556.006, T1566, have more...

IOCs:
Hash: 5
IP: 4

Soft:
Microsoft Entra, VeraCrypt

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, chart: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4