#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2026-23918 — это уязвимость высокой степени серьезности в реализации HTTP/2 сервера Apache HTTP Server, имеющая оценку CVSS 8.8. Ошибка, классифицируемая как CWE-415, возникает из-за условия двойного освобождения памяти (double free), что может привести к сбоям приложения и потенциальному выполнению произвольного кода, особенно через неконтролируемый атакующим трафик HTTP/2 без привилегий. Серверы, обрабатывающие несколько соединений, особенно уязвимы, поскольку для эксплуатации не требуется аутентификация, что делает эту уязвимость критической для таких сред.
-----

CVE-2026-23918 — это уязвимость, обнаруженная в Apache HTTP Server (httpd), конкретно в его реализации HTTP/2, с оценкой CVSS 8.8, указывающей на высокий уровень серьезности. Эта уязвимость возникает из-за условия двойного освобождения (double free), классифицируемого как CWE-415, которое происходит, когда программное обеспечение пытается освободить один и тот же участок памяти дважды. Такие сценарии могут привести к повреждению структур кучи, потенциально вызывая сбои приложения или, в более серьезных случаях, выполнение произвольного кода под контролем злоумышленника.

Эксплуатация данной уязвимости не требует аутентификации или повышенных привилегий, поскольку она может быть выполнена через управляемый атакующим трафик HTTP/2, достигающий сервера httpd. Даже если фронтенды Apache используют различные методы аутентификации — такие как базовая аутентификация, сеансы приложений или аутентификация обратного прокси-сервера — эти меры не предотвращают возможность установления вредоносных соединений HTTP/2. Экземпляры Apache, обычно участвующие в обработке контента для нескольких арендаторов или пользовательского контента, могут находиться под особой угрозой, поскольку атакующие могут создавать множество соединений и потоков для эксплуатации уязвимости.

Меры по устранению уязвимости CVE-2026-23918 заключаются в обновлении до версии Apache httpd 2.4.67 или более поздней, в которой данная ошибка исправлена. Настоятельно рекомендуется выполнить это обновление немедленно, поскольку оно полностью устраняет уязвимый путь выполнения кода, в отличие от попыток просто применить патч или ограничить риск на периметре сервера. Поскольку Apache продолжает широко использоваться в различных серверных средах, своевременное внимание к данной уязвимости повысит общий уровень безопасности и снизит риск успешной эксплуатации.

#ParsedReport #CompletenessLow
07-05-2026

FEMITBOT: Abuse of Telegram Mini Apps for Large-Scale Fraud Campaigns

https://cdn.prod.website-files.com/66fbdb04ee8bb0436308fc15/69f6093b2b8fcc3f49102d63_FEMITBOT%20-%20Report%20by%20CTM360%20-%202026.pdf

Report completeness: Low

Threats:
Femitbot
Golden_mine

Victims:
Media, Entertainment, Cryptocurrency, Telegram users

Industry:
Financial

Geo:
Bahrain

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1476, T1656

IOCs:
Domain: 5
File: 12

Soft:
Telegram, TikTok, Android, Chrome

Crypto:
binance

Algorithms:
gzip

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция FEMITBOT представляет собой серьезную киберугрозу, использующую Telegram Mini Apps для мошеннических кампаний, имитирующих легитимные сервисы. Этот модульный набор, проанализированный CTM360, применяет тактики, такие как имперсонация брендов, ссылки на фишинговые веб-сайты и взаимодействие с пользователями через ботов Телеграм, что облегчает извлечение персональных данных. Кроме того, FEMITBOT может распространять ВПО через файлы Android APK, замаскированные под легитимные приложения, применяя техники, которые скрывают вредоносную активность, одновременно оптимизируя процессы мошенничества посредством отслеживания пользователей.
-----

Операция FEMITBOT представляет собой значительную киберугрозу, использующую Telegram Mini Apps для проведения масштабных мошеннических кампаний. Используя эти легкие веб-приложения, киберпреступники создают обманные среды, имитирующие легитимные сервисы. Набор инструментов FEMITBOT, идентифицированный CTM360, представляет собой модульную инфраструктуру, обеспечивающую бесперебойное выполнение и масштабирование различных мошеннических схем. Анализ показывает, что несколько мошеннических Telegram Mini Apps питаются от общей бэкенд-системы, что подтверждается повторяющимся ответом API «Welcome to join the FEMITBOT platform», указывающим на скоординированные действия в рамках различных доменов.

Тактики мошенничества, применяемые в наборе FEMITBOT, часто включают имперсонацию известных брендов, таких как BBC, Netflix и Binance, тем самым используя знакомые логотипы для создания фасада достоверности и повышения вовлеченности пользователей. Связанные фишинговые сайты тесно связаны с ботами Телеграм, которые обеспечивают взаимодействие с потенциальными жертвами через последовательность, начинающуюся с нежелательной рекламы на таких платформах, как Meta, и продолжающуюся структурированным взаимодействием с ботом Телеграм.

При взаимодействии с ботом жертвы получают сильно кастомные приветственные сообщения через среду Mini App. Система использует строку Telegram.WebApp.initData для скрытого извлечения данных идентификации пользователя и помощи в дальнейших процедурах аутентификации. Такая модульная архитектура позволяет быстро развертывать новые мошеннические схемы без необходимости создания полностью отдельных конфигураций, повышая разнообразие угроз.

Техническая архитектура операции FEMITBOT интегрирует SDK Telegram WebApp для обеспечения бесшовного пользовательского опыта, который маскирует вредоносную активность. Когда пользователи получают доступ к фишинговым сайтам, они направляются на использование встроенного браузера, что создает видимость легитимной среды. Кроме того, операция включает отслеживающие пиксели от Meta и TikTok, которые контролируют взаимодействия пользователей для оптимизации процессов мошенничества.

Важно отметить, что набор FEMITBOT оснащен возможностью распространения ВПО, в частности через APK-файлы Android, предлагаемые жертвам под видом обычных взаимодействий с приложениями. Этот механизм распространения модулируется с использованием таких функций, как запросы «добавить на главный экран» и просмотр внутри приложения, что повышает вероятность согласия пользователей с вредоносными инструкциями. Эти тактики подчеркивают изощренный подход, который злоумышленники применяют для сбора и эксплуатации пользовательских данных в целях финансовой выгоды, эффективно используя технологии для сокрытия своих действий.

#ParsedReport #CompletenessLow
07-05-2026

CVE-2026-26956: vm2 Sandbox Escape Enables Host RCE in Node.js 25

https://socradar.io/blog/cve-2026-26956-vm2-sandbox-escape-rce-node-js-25/

Report completeness: Low

Victims:
Plugin execution systems, Continuous integration platforms, Automation platforms, Workflow platforms, Services running untrusted javascript

CVEs:
CVE-2026-26956 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.007

IOCs:
File: 3

Soft:
Node.js, Linux

Functions:
Symbol

Languages:
javascript

Platforms:
x64

Links:
https://github.com/patriksimek/vm2/security/advisories/GHSA-ffh4-j6h5-pg66

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2026-26956 — критическая уязвимость в библиотеке vm2, позволяющая злоумышленникам совершить побег из её песочницы, что приводит к выполнению произвольного кода (RCE) в приложениях Node.js. Уязвимость затрагивает версию vm2 3.10.4 и конкретно влияет на версию Node.js 25, особенно v25.6.1 на x64 Linux, путём эксплуатации механизмов обработки исключений WebAssembly. Доступен публичный Proof-of-Concept (PoC), демонстрирующий потенциал уязвимости в реальных атаках, особенно в средах, полагающихся на vm2 для обеспечения безопасности.
-----

CVE-2026-26956 — критическая уязвимость в библиотеке vm2, которая используется для песочницы недоверенного JavaScript-кода в приложениях Node.js. Эта проблема позволяет злоумышленнику выйти за пределы песочницы, предоставляемой версией vm2 3.10.4, и выполнить произвольный код (RCE) в процессе Node.js на хосте, чему присвоен балл CVSS 9.8, что указывает на его серьезность.

Уязвимость конкретно затрагивает версию Node.js 25, с подтвержденной эксплуатацией на Node.js v25.6.1, работающей на x64 Linux. Злоумышленники эксплуатируют эту уязвимость через манипуляцию обработкой исключений WebAssembly. Vm2 в основном полагается на контроль на уровне JavaScript для песочницы и обработки ошибок, но CVE-2026-26956 обходит эти защиты, используя конструкцию WebAssembly, известную как try_table, в сочетании с обработчиком перехвата JSTag. Это позволяет злоумышленникам перехватывать исключения JavaScript на уровне, который обходит типичные процессы управления ошибками vm2. В конечном итоге они могут использовать полученный объект ошибки для доступа к привилегированным конструкторам, что приводит к доступу к объекту хост-процесса.

Реальные последствия этой уязвимости значительны для многопользовательских сред, систем выполнения плагинов и любых контекстов, где сервисы используют vm2 в качестве границы против вредоносного ввода. Это включает платформы непрерывной интеграции, автоматизации и рабочих процессов, которые могут предоставлять функции скриптования.

Доступный в открытом доступе рабочий Proof-of-Concept (PoC) демонстрирует как возможность выхода из песочницы, так и выполнение команд на хосте. Это повышает риск практического применения эксплойта в реальных атаках, особенно против сервисов, которые предоставляют недоверенный ввод через vm2.

Для снижения рисков, связанных с CVE-2026-26956, организациям рекомендуется проверить свои кодовые базы на наличие вызовов VM.run() с недоверенным входом, убедиться, используется ли Node.js 25.x, и убедиться, что необходимые функции WebAssembly включены. Также рекомендуется обновиться до версии vm2 выше 3.10.4 для защиты от эксплуатации. Сосредоточившись на мерах обнаружения, включая выявление путей, по которым недоверенный код может попасть в vm2, организации могут лучше защитить себя от этой критической уязвимости.

#ParsedReport #CompletenessMedium
07-05-2026

Operation HookedWing: 4-Year Multi-Sector Phishing Campaign

https://socradar.io/blog/operation-hookedwing-4-year-phishing/

Report completeness: Medium

Actors/Campaigns:
Hookedwing (motivation: financially_motivated)

Threats:
Credential_harvesting_technique
Spear-phishing_technique

Industry:
Education, Government, Petroleum, Logistic, Transport, Aerospace, Energy, Critical_infrastructure, Financial, Retail, Telco, Ngo

Geo:
Nigeria, Africa, Uganda, Pakistan, Senegal, French, Nepal, Asia, Sri lanka, Brazil, African, Afghanistan, Chile

TTPs:
Tactics: 10
Technics: 13

IOCs:
File: 10
Hash: 2

Soft:
Outlook, Microsoft Outlook, office365, Azure Active Directory, Android

Algorithms:
sha256, base64, exhibit

Functions:
getInd__, getSlice__, getURLEm, AJAX, getSC

Languages:
javascript, php

#ParsedReport #ExtractedSchema

Classified images:
schema: 6, windows: 6, table: 1, code: 3, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция HookedWing — это сложная фишинговая кампания, активная с 2022 года, нацеленная на такие сектора, как авиация и критическая инфраструктура. Она использует собственный фишинговый набор инструментов и привлекает внешне безобидные страницы на платформах вроде github.io для сбора учетных записей, динамически генерируя вредоносные посадочные формы и захватывая конфиденциальные данные. Злоумышленники применяют двухуровневую инфраструктуру, состоящую из слоев распространения и бэкенда, постоянно совершенствуя свои тактики и сосредотачиваясь на высокоценных целях для потенциального использования конфиденциальной информации.
-----

Операция HookedWing — это устойчивая фишинговая кампания, активная с 2022 года, нацеленная на такие сектора, как авиация, государственное управление и энергетика. Она использует собственный фишинговый набор инструментов, не связанный с известными злоумышленниками. Кампания скомпрометировала более 2 500 уникальных учетных данных из 500+ организаций. Фишинговые письма часто используют темы, связанные с управлением персоналом, Microsoft или Google, направляя пользователей на поддельные страницы входа, в основном размещенные на github.io и Vercel. Эти страницы используют техники обфускации, включая динамически генерируемые целевые страницы, имитирующие Microsoft Outlook для захвата учетных данных пользователей. Жертвы сталкиваются с экраном загрузки перед тем, как им будет предложена вредоносная форма для ввода учетных данных, которая также собирает геолокационные и контекстные данные. Инфраструктура кампании включает распределительный слой из статических страниц, выглядящих безобидно, и бэкенд-слой из скомпрометированных серверов для эксфильтрации данных. Злоумышленники постоянно диверсифицируют свои фишинговые тактики, сохраняя при этом основные структурные паттерны. Паттерн нацеливания сосредоточен на высокоценных секторах, при этом многие жертвы находятся в авиации и правительстве, что указывает на интерес к конфиденциальной информации. Они используют базы данных электронной почты для предварительного заполнения фишинговых URL-адресов, повышая легитимность. Злоумышленники применяют передовые техники уклонения, такие как динамическое выполнение JavaScript, что делает ВПО трудным для обнаружения без выполнения. Непрерывный характер и стратегическое нацеливание этой операции предполагают наличие значительных ресурсов и намерений для дальнейшего злоупотребления данными.

#ParsedReport #CompletenessHigh
07-05-2026

PCPJack \| Cloud Worm Evicts TeamPCP and Steals Credentials at Scale

https://www.sentinelone.com/labs/cloud-worm-evicts-teampcp-and-steals-credentials-at-scale/

Report completeness: High

Actors/Campaigns:
Teampcp (motivation: financially_motivated)
Vect
Teamtnt

Threats:
Pcpjack_tool
Supply_chain_technique
Credential_harvesting_technique
React2shell_vuln
Sliver_c2_tool
Typosquatting_technique
Garble_tool
Xmrig_miner

Victims:
Cloud infrastructure, Container services, Developer services, Productivity services, Financial services, Open source software supply chain

Industry:
Financial

Geo:
Germany

CVEs:
CVE-2025-29927 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vercel next.js (<12.3.5, <13.5.9, <14.2.25, <15.2.3)

CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)

CVE-2026-1357 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-48703 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- control-webpanel webpanel (<0.9.8.1205)

CVE-2025-9501 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1016, T1021.004, T1027, T1036.005, T1041, T1046, T1053.003, T1059.004, T1059.006, T1070.004, have more...

IOCs:
Url: 2
File: 5
IP: 11
Domain: 3
Hash: 12

Soft:
Docker, Kubernetes, Redis, Trivy, LiteLLM, Slack, Linux, Telegram, WordPress, Gmail, have more...

Wallets:
coinbase

Crypto:
ethereum, solana, binance, bitcoin, kucoin

Algorithms:
base64, chacha20-poly1305, ecdh, curve25519, xor, sha1, md5

Functions:
_d, GetBeaconInterval

Languages:
python, php

Platforms:
intel, arm

Links:
https://github.com/urllib3/urllib3/blob/main/src/urllib3/poolmanager.py

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PCPJack — это новая выявленная фреймворк для кражи учетных данных, нацеленный на открытые облачные инфраструктуры для сбора учетных записей из таких сервисов, как Docker и Kubernetes. Его заражение начинается с shell-скрипта, который настраивает среду на Linux и инициирует сбор учетных данных с помощью таких техник, как сканирование конфигурационных файлов и эксплуатация уязвимостей в сети жертвы. Связь с его инфраструктурой управления происходит через Телеграм, используя сложные методы шифрования для эксфильтрации данных, в то время как фреймворк также включает вторичный набор инструментов для дальнейшего сбора учетных данных и гибкости операций.
-----

Компания SentinelLABS выявила новую фреймворк для кражи учетных данных под названием PCPJack, специально разработанный для проникновения и распространения через открытые облачные инфраструктуры. PCPJack в первую очередь нацелен на сбор учетных данных из таких сервисов, как Docker, Kubernetes, Redis, MongoDB и других уязвимых веб-приложений, что позволяет осуществлять как внешнее распространение, так и перемещение внутри компании в целевых средах. Примечательно, что это ВПО воздерживается от развертывания криптомайнеров, сосредоточившись вместо этого на монетизации украденных учетных данных через различные незаконные действия, такие как мошенничество, спам и вымогательство.

Процесс заражения, инициируемый PCPJack, начинается со скрипта оболочки bootstrap.sh, который настраивает необходимую среду в системах Linux. Этот скрипт организует загрузку и выполнение дополнительных Python-загрузчиков в виртуальном окружении. Один из ключевых компонентов, monitor.py, контролирует операцию сбора учетных записей, одновременно удаляя любые процессы, связанные с хакерской группировкой TeamPCP. Точечная нацеленность на артефакты TeamPCP заставляет исследователей предполагать, что PCPJack может управляться кем-то, знакомым с методологиями TeamPCP.

Сбор учетных записей использует различные техники, включая сканирование файлов конфигурации и секретов, содержащихся в переменных окружения, учетных данных службы метаданных экземпляров AWS (IMDS) и закрытых ключей SSH. Модули перемещения внутри компании PCJack эксплуатируют конкретные уязвимости в программных компонентах для распространения внутри сети жертвы, используя такие методы, как запросы к службам Kubernetes и взаимодействие с API Docker. Например, взаимодействие с Kubernetes часто приводит к эксфильтрации конфиденциальной информации, несмотря на современные конфигурации безопасности.

Более того, PCPJack взаимодействует со своей инфраструктурой управления (C2) через Телеграм, отправляя собранные данные в выделенный канал и получая операционные команды. Важно отметить, что фреймворк использует сложные методы шифрования для эксфильтруемых данных, реализуя протоколы обмена ключами ECDH и шифрования ChaCha20-Poly1305, которые предназначены для сокрытия данных от обнаружения во время передачи.

В дополнение к основному набору инструментов анализ выявил вторичный набор инструментов, используемый злоумышленниками, включая shell-скрипт с именем check.sh, который собирает учетные данные из различных сервисов и определяет архитектуру системы для развертывания бинарного файла Sliver для беконинга. Это указывает на разнообразный и модульный дизайн, благоприятствующий гибкости в операциях, хотя также выявляет упущения в операционной безопасности из-за незашифрованных учетных данных.

#ParsedReport #CompletenessHigh
07-05-2026

Operation GriefLure: Dissecting an APT Campaign Targeting Vietnam’s Military Telecom & Philippine Healthcare

https://www.seqrite.com/blog/operation-grieflure-dissecting-an-apt-campaign-targeting-vietnams-military-telecom-philippine-healthcare/

Report completeness: High

Actors/Campaigns:
Grieflure (motivation: information_theft)

Threats:
Spear-phishing_technique
Lolbin_technique
Polymorphism_technique
Dll_sideloading_technique
Process_injection_technique
Apc_injection_technique
Credential_harvesting_technique
Todesk_tool
Xshell_tool
Grief

Victims:
Telecommunications, Healthcare, Law enforcement

Industry:
Healthcare, Telco, Military

Geo:
Burma, Asia-pacific, Vietnamese, Vietnam, Philippines, Asian, Philippine, China, Hong kong

TTPs:
Tactics: 10
Technics: 24

IOCs:
File: 19
Command: 1
Domain: 2
IP: 1
Hash: 10

Soft:
Windows service, Windows shell, WinHTTP, chrome, Chrome chrome, TightVNC, Windows Defender, Sunlogin, NetSarang, WeChat, have more...

Algorithms:
sha256, xor, zip

Win API:
DllRegisterServer, OpenProcess, TerminateProcess, ShellExecuteW, CreateProcessAsUserW, LoadLibraryW, GetProcAddress, DllUnregisterServer, llRegisterServer, i, VirtualAlloc, have more...

Languages:
php

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 3, code: 9, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция GriefLure представляет собой целевой фишинг, использующий вредоносный файл LNK Windows в двойном архиве RAR для компрометации старших руководителей Viettel Group и St. Luke's Medical Center. Атака применяет полиморфную полезную нагрузку (sfsvc.exe), которая выполняется скрытно, демонстрируя при этом легитимный файл PDF-декой, что обеспечивает выполнение без файлов, внедрение кода в процессы и сбор учетных записей. Сложные возможности вредоносного ПО, включая связь с центром управления через HTTPS и XOR-обфускацию, указывают на его связь со сложной целенаправленной угрозой, связанной с Китаем.
-----

Операция GriefLure нацелена на старших руководителей Viettel Group и St. Luke's Medical Center с использованием целевого фишинга.

В рамках кампании используется вредоносный файл LNK Windows, находящийся внутри двойного архива RAR.

Он использует ftp.exe в качестве дропера Living-off-the-Land для обхода обнаружения.

Злоумышленники используют подлинные юридические документы и сфабрикованную жалобу информатора для социальной инженерии.

Первоначальный доступ обеспечивается архивом RAR, который беззвучно устанавливает вредоносный модуль (sfsvc.exe).

Процесс заражения завершается в течение десяти секунд без предупреждений для пользователя.

Используется пакетный фреймворк для объединения и сборки бинарных фрагментов, замаскированных под документы.

ВПО использует методы управления процессами для стирания или манипуляции пользовательскими интерфейсами в целях скрытности.

Оно обладает расширенными возможностями, такими как выполнение без файлов и внедрение кода в процессы через фреймворк sfsvc.exe.

Рутинные процедуры ВПО включают сбор учетных записей, разведку системы и захват скриншотов.

Он использует HTTPS для связи управления и для обфускации XOR полезной нагрузки.

Учетные данные извлекаются из жестко закодированных путей часто используемых приложений.

ВПО обладает высокой модульностью, адаптируя действия в зависимости от командных вводов от атакующего.

Операция связана с кластером угроз, связанным с Китаем, использующим провайдера пуленепробиваемого хостинга в Юго-Восточной Азии.

Кампания демонстрирует стратегии сложной целенаправленной угрозы (APT) и техники психологического манипулирования.

#ParsedReport #CompletenessHigh
07-05-2026

Operation HumanitarianBait: An Infostealer Campaign in Disguise

https://cyble.com/blog/operation-humanitarianbait-infostealer-campaign/

Report completeness: High

Actors/Campaigns:
Humanitarianbait (motivation: cyber_espionage)

Threats:
Credential_harvesting_technique
Pyarmor_tool
Rustdesk_tool
Anydesk_tool
Spear-phishing_technique

Victims:
Russian speaking individuals, Humanitarian aid organizations, Civil administration, Government

Industry:
Government

Geo:
Usa, Russian

TTPs:
Tactics: 9
Technics: 19

IOCs:
Hash: 3
Url: 4
File: 8
IP: 1

Soft:
Telegram, Windows Scheduled Task, Firefox, Chromium, Chrome, Opera, Yandex Browser, Ubuntu Linux, Flask

Algorithms:
zip, aes-gcm, sha256

Languages:
python, powershell

Platforms:
x64

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 7, windows: 4, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4