#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Labs Bitdefender сообщили о кибервторжении против азербайджанской нефтяной и газовой компании со стороны китайской хакерской группировки FamousSparrow, использующей передовые методы атак, направленные на энергетическую инфраструктуру. Атакующие применили новый метод подгрузки DLL для обхода обнаружения и эксплуатировали не исправленные уязвимости Microsoft Exchange через цепочки эксплойтов ProxyShell и ProxyNotShell для получения первоначального доступа. Они использовали два бэкдора, Deed RAT и Terndoor, демонстрируя оперативное закрепление, адаптируя свои тактики на протяжении многоволновой кампании атаки.
-----

Китайская хакерская группировка FamousSparrow провела многоволновую кибератаку на азербайджанскую нефтяную и газовую компанию в период с декабря 2025 года по февраль 2026 года. Они использовали новую технику подгрузки DLL, которая позволила обойти традиционные механизмы обнаружения. Этот метод изменял экспортируемые функции в вредоносной библиотеке для создания двухэтапной активации, позволяя загрузчику Deed RAT выполняться после определенных последовательностей. Атакующие применили два семейства бэкдоров, Deed RAT и Terndoor, и продемонстрировали закрепление путем многократного доступа к уязвимому серверу Microsoft Exchange. Первоначальный доступ был получен с использованием цепочек эксплойтов ProxyShell и ProxyNotShell, нацеленных на незакрытые уязвимости и развертывающих веб-оболочки. Вариант Deed RAT показал непрерывную адаптацию, применяя два криптографических подхода — AES-CBC и RC4 — для ограничения обнаружения во время анализа. Перемещение внутри компании осуществлялось с использованием RDP и PowerShell, за которым последовало развертывание Terndoor в качестве вторичного бэкдора. Атакующие вели дисциплинированную операцию, часто настраивая конфигурации ВПО и стратегии закрепления. Приписывание атаки FamousSparrow подтверждалось идентифицируемыми TTPs, связанными с их операционным фреймворком. Стратегии защиты должны сосредоточиться на сканировании памяти и обнаружении пользовательских техник подгрузки DLL.

#ParsedReport #CompletenessMedium
13-05-2026

Dark Web Profile: Keymous+

https://socradar.io/blog/dark-web-profile-keymous/

Report completeness: Medium

Actors/Campaigns:
Keymous (motivation: hacktivism)
Opisrael
Ddos-for-hire (motivation: hacktivism)
Rippersec
Mr_hamza
Moroccan_dragons
Noname057
Anonsec

Threats:
Elitestress_tool
Dns_amplification_technique
Udpflood_technique
Icmpflood_technique
Megamedusa_tool
Mirai
Godzilla_webshell
Synflood_technique

Victims:
Government, Telecommunications, Financial services, Transportation and logistics, Hospitality, Healthcare, Education, Energy, Africa, Asia, have more...

Industry:
Healthcare, Logistic, Entertainment, Military, Telco, Energy, Transport, Iot, Education, Financial, Government

Geo:
Africa, Netherlands, Israeli, Palestinians, Iranian, India, African, Chinese, Pakistan, Malaysian, Italy, Israel, France, Saudi, Algeria, Denmark, Morocco, Jordan, Sudan, Spain, Belgium, Asia, Palestine, United kingdom, Bangladesh, Ukraine, Germany, Kuwait, Saudi arabia, Sweden

TTPs:
Tactics: 7
Technics: 11

Soft:
Telegram, egram chan, elegram ch, Discord

Win API:
NetBIOS

Platforms:
arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Keymous+, группа хактивистов из Северной Африки, сформированная в ноябре 2023 года, специализируется на операциях DDoS-as-a-Service, используя платформу EliteStress для запуска атак с высокой пропускной способностью (до 44 Гбит/с) с применением таких методов, как DNS-амплификация и UDP-флуд. Группа, которая разделяет оперативные команды, атакует государственные структуры и критические сектора в ответ на геополитические события, в основном сосредотачиваясь на Марокко, Саудовской Аравии, Франции и Индии. Их тактика соответствует фреймворку MITRE ATT&CK, подчеркивая стратегический подход к сетевому отказу в обслуживании.
-----

Keymous+ — это североафриканская хактивистская группа, известная операциями DDoS-as-a-Service.

Группа появилась в ноябре 2023 года после DDoS-атаки на портал электронных виз Марокко.

Keymous+ работает в рамках внутренних подразделений, а именно Alpha Team и Beta Team.

Команда Alpha Team специализировалась на утечках данных и целевых атаках, но с конца 2024 года практически прекратила свою деятельность.

Команда Beta в настоящее время управляет всеми DDoS-кампаниями и делится результатами атак через Телеграм.

Keymous+ использует платформу EliteStress для запуска DDoS-атак с применением таких методов, как DNS-усиление и TCP/UDP-флуд.

Атаки могут достигать пиковой пропускной способности 11,8 Гбит/с по отдельности или более 44 Гбит/с при совместных усилиях.

Группа использует большой пул исходных IP-адресов с компрометированных устройств, публичных облачных инстансов и VPN-сервисов для уклонения от обнаружения.

Keymous+ осуществляет оппортунистические атаки, основанные на геополитических событиях, с фокусом на государственные структуры и критические сектора, такие как финансы и здравоохранение.

Среди стран, подвергшихся атакам, — Марокко, Саудовская Аравия, Франция и Индия.

Группа заранее объявляет цели в Телеграм, используя тактики психологического давления.

Keymous+ использует как методы прямого флудинга, так и отраженного увеличения сетевого трафика.

Стратегии защиты от Keymous+ должны сосредоточиться на обнаружении на основе векторов, системах раннего предупреждения через Телеграм и адаптивной операционной безопасности.

Их тактика связана с фреймворком MITRE ATT&CK, в частности с категорией T1498 сетевой отказ в обслуживании.

#ParsedReport #CompletenessMedium
13-05-2026

Thus Spoke…The Gentlemen

https://research.checkpoint.com/2026/thus-spoke-the-gentlemen/

Report completeness: Medium

Actors/Campaigns:
Gentlemen_ransomware
Hastalamuerte
Dragonforce
Shadowbyt3
Chaos_raas
Lockbit

Threats:
Gentlemen_ransomware
Systembc
Edr-killer
Vssadmin_tool
Netexec_tool
Shadow_copies_delete_technique
Mamba
Zeropulse_tool
Certihound_tool
Edrstartuphinder_tool
Gfreeze_tool
Glinker_tool
Dumpbrowsersecrets_tool
Winrm_tool
Bloodhound_tool
Titanis_tool
Manspider_tool
Powerzure_tool
Regpwn_tool
Ksldump_tool
Kslkatz_tool
Zerosalarium_tool
Blackbasta
Glocker_tool
Ntlmrelayx_tool
Hellokitty
Kraken_cryptor
Gunra
Hyflock
Anubis
Lockbit
Devman

Victims:
Software consultancy, Company in turkey, United kingdom, Turkey

Industry:
Financial

Geo:
Turkey, Turkish, Chinese, United kingdom, Russian

CVEs:
CVE-2024-55591 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (<7.0.20, <7.2.13)
- fortinet fortios (<7.0.17)

CVE-2025-32433 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- erlang erlang\/otp (<25.3.2.20, <26.2.5.11, <27.3.3)

CVE-2025-33073 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.21034)
- microsoft windows_10_1607 (<10.0.14393.8148)
- microsoft windows_10_1809 (<10.0.17763.7434)
- microsoft windows_10_21h2 (<10.0.19044.5965)
- microsoft windows_10_22h2 (<10.0.19045.5965)
have more...

TTPs:
Tactics: 4
Technics: 0

IOCs:
Hash: 62
File: 2

Soft:
Event Tracing for Windows, Linux, ESXi, Active Directory, Velociraptor, ctive Directory di, WireGuard, DeepSeek, Kitty, riced and base, have more...

Wallets:
guarda_wallet, exodus_wallet

Crypto:
bitcoin

Functions:
TaskHound

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
windows: 7, code: 12, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
The Gentlemen — это хакерская группировка The Gentlemen, работающая по модели Программа-вымогатель как услуга (RaaS), активная в 2026 году, с 332 зафиксированными атаками за первые пять месяцев. Их операции включают эксплуатацию уязвимостей в устройствах Fortinet и Cisco, проведение атак NTLM relay и кражу учетных данных из сред OWA/M365. Группировка применяет сложные методы перемещение внутри компании и уклонения от обнаружения, используя собственные инструменты, которые манипулируют Event Tracing for Windows (ETW) для развертывания программы-вымогателя, а также демонстрирует стратегию использования скомпрометированных данных в рамках различных кампаний и систематического отмывания выкупов.
-----

The Gentlemen — это формирующаяся программа-вымогатель как услуга (RaaS), которая была идентифицирована как высокоактивная в 2026 году, при этом только за первые пять месяцев было зафиксировано около 332 публичных жертв. 4 мая 2026 года база данных бэкенда The Gentlemen, получившая название «Rocket», была слита, раскрыв критические операционные детали о группировке и её сети аффилиатов. Утечка, в частности, включала обсуждения векторов первоначального доступа, таких как эксплойты, нацеленные на периферийные устройства Fortinet и Cisco, атаки с ретрансляцией NTLM и кража учётных данных из сред OWA/M365. Группировка активно отслеживает и оценивает современные уязвимости и экспозиции (CVE), включая CVE-2024-55591, CVE-2025-32433 и CVE-2025-33073, чтобы информировать свои операции.

RaaS-сервис The Gentlemen администрируется лицом, действующим под псевдонимом zeta88 (также известным как hastalamuerte), которое не только отвечает за управление инфраструктурой и операционной логистикой, но и непосредственно занимается развертыванием программ-вымогателей. Операционная структура предполагает четкое разделение ролей, при котором несколько аффилированных лиц участвуют скоординированно, обмениваясь инструментарием и операционными стратегиями. Утечки чатов указывают на методичный процесс планирования, ведущий к масштабному первоначальному доступу через экспонированные устройства, за которым следует тщательная разведка и повышение привилегий в целевых сетях.

Ключевые техники, применяемые группой, включают перемещение внутри компании в скомпрометированных сетях и масштабные меры по отключению средств защиты. Они используют широкий спектр инструментов для эксплуатации и уклонения, включая NetExec, RelayKing и собственные кастомные техники обхода EDR, которые опираются на продвинутые методы, такие как манипуляция трассировкой событий для Windows (ETW). Окончательное развертывание ransomware выполняется с использованием кастомного блокировщика, разработанного для быстрого распространения по сети.

Кроме того, оперативные стратегии выглядят изощрёнными; группа обсуждала использование данных из ранее взломанной британской консалтинговой компании в качестве рычага давления при последующей атаке на турецкую компанию, что демонстрирует тактику двойного давления во время переговоров о выкупе. Эта кросс-кампанийная методология показывает их способность повторно использовать скомпрометированные данные для содействия дальнейшим проникновениям.

Утечка также предоставила информацию об их финансовых операциях, намекая на систематические стратегии отмывания выкупов, включая обсуждения транзакционных цепочек и избегания обнаружения через неконтролируемые кошельки. Группа, по-видимому, проявляет живой интерес к отслеживанию операций конкурентов и улучшению своих моделей, демонстрируя понимание более широкого ландшафта RaaS, иногда сравнивая свою тактику и обсуждая успешные методы, используемые другими группами вымогателей.

#ParsedReport #CompletenessMedium
13-05-2026

GemStuffer Campaign Abuses RubyGems as Exfiltration Channel Targeting UK Local Government

https://socket.dev/blog/gemstuffer

Report completeness: Medium

Actors/Campaigns:
Gemstuffer

Victims:
Uk local government, Lambeth council, Wandsworth council, Southwark council

Industry:
Government

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.005, T1059, T1071.001, T1074.001, T1552.001

IOCs:
File: 34
Hash: 6
Url: 3

Soft:
Unix

Algorithms:
md5, sha1, gzip, sha256

Languages:
ruby

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания GemStuffer нацелена на сайты британских местных органов власти, эксплуатируя RubyGems для эксфильтрации публичных данных через более 100 вредоносных пакетов. ВПО собирает контент, связанный с советами, используя модуль Ruby Net::HTTP, упаковывая данные в архивы .gem со скрытой структурой каталогов. Ключевые техники включают создание временной среды RubyGems путем манипуляции переменной `HOME` и использование жестко закодированных ключей API для прямой загрузки в реестр RubyGems, что облегчает скрытое извлечение данных.
-----

Кампания GemStuffer появилась как новая угроза, использующая RubyGems для эксфильтрации данных, в частности, нацеленная на публичную информацию из порталов демократических служб местных органов власти Великобритании. Эта кампания включает размещение более 100 вредоносных пакетов (gems), которые упаковывают собранные данные с порталов советов и публикуют эти пакеты в RubyGems. Используемые инструменты сосредоточены на использовании жестко закодированных API-ключей для прямой отправки архивов в реестр, что позволяет создать систему извлечения данных, замаскированную под легитимную активность пакетов Ruby.

Вредоносное ПО специально собирает контент, такой как календари советов, повестки дня и связанные документы, с порталов, управляемых Lambeth, Wandsworth и Southwark. Оно работает путем получения этих веб-страниц через модуль Net::HTTP стандартной библиотеки Ruby, а затем сканирования на наличие дополнительных ссылок, которые могут содержать полезную информацию. После получения ответы компилируются в действительные архивы .gem, которые содержат извлеченную информацию в скрытой структуре каталогов.

Два основных механизма определяют поведение атаки: создание временной среды для учетных данных RubyGems и процесс прямой отправки данных гема в API RubyGems. ВПО создает каталог в `/tmp`, имитируя легитимную среду RubyGems, и переопределяет переменную `HOME` для своего активного процесса. Такой подход минимизирует его след, избегая любой зависимости от предварительно настроенной среды.

Более того, атака не направлена на массовую компрометацию; вместо этого она использует низкопрофильные пакеты gem, которые могут не вызывать немедленных тревог, несмотря на значимость их методов. Общая операция включает систематический сбор данных, внедрение полученной информации в пакеты gem и постоянное использование интерфейса RubyGems для последующего получения данных.

Для эффективного противодействия этой угрозе аналитики рекомендуют немедленно удалить выявленные вредоносные гемы и направить отчеты в RubyGems. Рекомендуется мониторинг CI-сред для несанкционированного исходящего трафика в RubyGems, особенно с целью блокировки потенциальных попыток эксфильтрации, которые не исходят из легитимных рабочих процессов публикации пакетов. Также необходимо провести усиленный аудит зависимостей и сред, взаимодействующих с RubyGems, для выявления любых аномалий, в частности изменений переменной среды `HOME`, которые могут указывать на наличие аналогичных атак.

#ParsedReport #CompletenessMedium
13-05-2026

Cato CTRL Threat Research: Suspected China-Linked Threat Actor Targets Global Manufacturer with Undocumented TencShell Malware

https://www.catonetworks.com/blog/cato-ctrl-suspected-china-linked-threat-actor-targets-global-manufacturer/

Report completeness: Medium

Threats:
Tencshell
Rshell
Donut
Reacon
Process_injection_technique
Uac_bypass_technique

Victims:
Manufacturing

Industry:
Logistic

Geo:
China, Chinese, India

TTPs:
Tactics: 8
Technics: 20

IOCs:
File: 3
IP: 3
Domain: 1
Hash: 51

Soft:
Chrome, Windows Registry

Functions:
TencShell, GetScreenWebSocket

Win API:
SendInput

Languages:
javascript

Platforms:
cross-platform

#ParsedReport #ExtractedSchema

Classified images:
code: 4, schema: 3, windows: 5, dump: 1, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследование Cato CTRL выявило атаку на глобального производителя, в ходе которой использовался вредоносный модуль на базе Go под названием TencShell, созданный на основе фреймворка C2 Rshell. Атака началась с загрузчика, использующего shellcode Donut, доставленного через замаскированный файл .woff, что позволило выполнить код в памяти без создания обычных артефактов и установило сложную коммуникацию с C2, имитирующую легитимный трафик. TencShell поддерживает расширенные техники пост-эксплуатации, включая получение учетных данных, перемещение внутри компании и эксфильтрацию, при этом обеспечивая скрытое ведение операций.
-----

Расследование Cato CTRL в апреле 2026 года выявило атаку, направленную на эксплуатацию глобального производителя с использованием недавно выявленного Go-импланта под названием TencShell. Это ВПО, созданное на базе открытого фреймворка управления (C2) Rshell, использует сложные техники для избегания обнаружения и получения удаленного доступа. Атака началась с дроппера первого этапа, использующего shellcode Donut, доставленного через ресурс веб-шрифта .woff с маскировкой, и включала инъекцию в память и связь с C2, имитирующую нормальную веб-активность.

Актор предположительно связан с Китаем, что подтверждается характеристиками ВПО и его инфраструктуры. Если бы TencShell был успешно развернут, он предоставил бы атакующему обширные возможности, включая удаленное выполнение команд, профилирование системы и возможность установки дополнительных вредоносных инструментов. К счастью, защита Cato заблокировала попытку до установления постоянного контроля.

Вредоносное ПО было частью целевой атаки, которая использовала многоэтапную цепочку заражения, начиная с начального дроппер-загрузчика. Этот начальный этап извлек shellcode Donut, замаскированный в запросе .woff, который был спроектирован так, чтобы имитировать легитимный веб-трафик. Shellcode Donut известен возможностью выполнения различных типов загрузчиков в памяти, и в данном случае он обеспечил загрузку TencShell в память без создания традиционных артефактов на основе файлов.

После загрузки в память имплантат пытался связаться с серверами C2, используя структурированные API-подобные конечные точки, чтобы замаскировать вредоносный трафик в рамках нормального взаимодействия с приложением. Это включало использование имен и путей, напоминающих сервисы Tencent, что усложняло усилия аналитиков по обнаружению. Дополнительный анализ TencShell выявил функциональность, типичную для зрелых фреймворков, включая возможности проксирования, взаимодействия через обратный шелл и механизм закрепления, встроенный в реестр Windows, предназначенный для обеспечения повторного запуска при перезагрузке системы.

Архитектура TencShell поддерживает расширенные стратегии пост-эксплуатации, позволяя выполнять такие действия, как получение учетных данных, эксфильтрация и перемещение внутри компании по сетям. Оператор мог беспрепятственно развертывать дополнительные инструменты или команды, сохраняя низкий профиль, поскольку коммуникация C2 спроектирована так, чтобы имитировать паттерны безобидного трафика.

#ParsedReport #CompletenessLow
13-05-2026

The French 2-Step: Exposing a Multi-stage Scam Targeting the National Railway Company in France

https://www.group-ib.com/blog/french-railway-two-step-scam/

Report completeness: Low

Victims:
Railway and transport, Financial services, French consumers

Industry:
E-commerce, Transport, Financial

Geo:
France, French

ChatGPT TTPs:
do not use without manual check
T1566.002, T1583.001, T1598.004, T1656, T1657

IOCs:
Domain: 5
Url: 10
IP: 11
Email: 13

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложная мошенническая схема, направленная против клиентов SNCF, использует фишинг и социальную инженерию, применяя тщательно выверенные по времени поддельные рекламные письма и поддельные веб-сайты для эксплуатации доверия к бренду. Злоумышленники используют данные из предыдущего взлома для идентификации целей, а затем следуют с звонками от лиц, выдающих себя за банковских консультантов, чтобы получить конфиденциальную финансовую информацию. Мошенники используют авторитетные платежные процессоры, чтобы придать легитимность своим операциям, усложняя усилия жертв по восстановлению и подчеркивая возрастающую сложность тактик киберкриминал.
-----

Сложная и многоэтапная мошенническая схема, направленная против клиентов французской национальной железнодорожной компании SNCF, наглядно демонстрирует текущую эволюцию онлайн-мошенничества с использованием техник фишинга и социальной инженерии. Схема работает за счет эксплуатации эмоционального состояния жертв и узнаваемости бренда, что приводит к финансовым потерям через двухэтапный подход, завершающийся несанкционированными транзакциями.

Начальный этап мошенничества использует целевые фишинг-стратегии, при которых злоумышленники отправляют поддельные рекламные письма, обещающие скидки на продукты SNCF. Эти кампании тщательно синхронизированы по времени с периодами высокой туристической активности, особенно во время французских школьных каникул, когда семьи с большей вероятностью планируют поездки. Мошенники используют данные из предыдущего инцидента утечки, конкретно инцидента Addka72424 в сентябре 2024 года, чтобы выявить и нацелить на тех, кто с большей вероятностью попадется на эту аферу. Это позволяет им создавать реалистичные поддельные веб-сайты, эффективно имитирующие официальные порталы SNCF и внушающие доверие среди потенциальных жертв.

После того как жертвы попадают в ловушку и предоставляют свои личные данные и платежные реквизиты через эти мошеннические платформы, вступает в силу второй этап мошенничества. Жертвы получают последующие звонки от лиц, выдающих себя за банковских консультантов, которые утверждают, что обнаружили подозрительные транзакции на счете жертвы. Эта манипуляция использует первоначальное обманное воздействие для извлечения конфиденциальной финансовой информации, такой как коды безопасности и данные банковских счетов, которыми мошенники пользуются для авторизации дополнительных несанкционированных платежей.

Важно отметить, что мошенники используют авторитетные онлайн-платежные процессоры, такие как Stripe, создавая видимость легитимности своей деятельности. Этот аспект серьезно затрудняет возможность жертв вернуть похищенные средства, поскольку злоумышленники эксплуатируют каналы отчетности этих платформ. К тому времени, когда жертвы начинают подавать заявления или открывать дела о мошенничестве, часто уже слишком поздно; мошенники исчезают, унося с собой деньги.

Применяемые здесь тактики подчеркивают растущий тренд в киберкриминале, где злоумышленники сочетают передовые методы социальной инженерии и точное нацеливание для максимизации эффективности своих схем. Такие мошеннические схемы не только наносят жертвам значительные финансовые потери, но и вызывают глубокое эмоциональное расстройство, поскольку люди переживают осознание того, что их обманули дважды.

По мере того как подобные виды мошенничества распространяются в цифровой экономике, осведомленность и обучение методам выявления и реагирования на подозрительные коммуникации становятся жизненно важными. Организациям и частным лицам необходимо сохранять бдительность в отношении этих все более сложных угроз, особенно тех, которые успешно используют психологическое манипулирование и эмоциональную эксплуатацию для достижения своих злонамеренных целей.

#ParsedReport #CompletenessMedium
13-05-2026

Sinkholing CountLoader: Insights into Its Recent Campaign

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/sinkholing-countloader-insights-into-its-recent-campaign/

Report completeness: Medium

Threats:
Countloader
Etherhiding_technique
Amsi_bypass_technique

Victims:
Cryptocurrency users, India, Indonesia, United states, South east asia

Industry:
Financial

Geo:
India, Indonesia, Asia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1008, T1027, T1053.005, T1055, T1059.001, T1059.007, T1091, T1102.001, T1105, T1115, have more...

IOCs:
File: 3
Domain: 23
Hash: 19
Url: 6

Crypto:
ethereum

Algorithms:
base64, des, xor

Functions:
taskType

Languages:
python, javascript, powershell

Links:
https://github.com/S3cur3Th1sSh1t/Amsi-Bypass-Powershell?tab=readme-ov-file#patching-clr

#ParsedReport #GeneratedSchema
Generated with GPT-4