#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В начале мая 2026 года хакерская группировка The Gentlemen, являющаяся операцией Программа-вымогатель как услуга, стала жертвой взлома, в результате которого были раскрыты внутренние данные, включая детали операций и стенограммы переговоров. Они используют написанный на Go вымогатель для различных систем и написанный на C блокировщик для гипервизоров ESXi, применяя тактику двойное вымогательство. Раскрытая информация раскрыла их организационную структуру, процессы выбора целей и использование таких инструментов, как Velociraptor и Mimikatz, для сбора учетных записей и управления командами.
-----

В начале мая 2026 года хакерская группировка The Gentlemen, операция Ransomware-as-a-Service (RaaS), появившаяся в середине 2025 года, подверглась значительному взлому, в результате которого была раскрыта важная внутренняя информация. Этот инцидент стал масштабным провалом в области операционной безопасности для группировки, что привело к непреднамеренной утечке внутренних данных, включая логи чатов, детали управления аффилиатами и стенограммы переговоров о выкупе. The Gentlemen, известные своим быстрым расширением и уникальной моделью аффилиатов, в основном служат операционным ядром, в то время как аффилиаты осуществляют атаки и получают 90% выплат по выкупу.

Группой руководит известный русскоязычный злоумышленник, действующий под псевдонимами, такими как hastalamuerte и zeta88. Их технический арсенал включает Go-версию ransomware, способную шифровать системы Windows, Linux, NAS и BSD, а также специализированный C-версию locker для гипервизоров ESXi. Они применяют технику двойного вымогательства, шифруя данные и угрожая публично раскрыть украденные файлы, если их требования не будут выполнены. Примечательно, что The Gentlemen нацелены на широкий спектр стран, при этом только 13% их жертв находятся в США, а основное внимание уделяется таким регионам, как Таиланд, Великобритания, Бразилия, Германия и Индия.

Хостинг-провайдер под названием 4VPS был связан с инцидентом; они раскрыли информацию об атаке, связанной с заменой прокси-серверов, которая, по утверждениям, привела к компрометации учетных данных из инфраструктуры The Gentlemen's. Эта связь привела к тому, что внутренние данные были выставлены на продажу на подпольных форумах, что позволило аналитикам получить представление об операциях группы. Утекшая информация включала учетные данные для доступа, журналы чатов о проникновениях, обсуждения уязвимостей, оперативные планы, пути эксплуатации и примеры систематической виктимизации, когда одна взломанная организация использовалась для доступа к другой и атаки на нее.

Внутренняя структура группы была раскрыта благодаря журналам чата, показавшим иерархическую модель, в которой zeta88 выступает в роли ведущего оператора, а такие аффилиаты, как Wick и Protagor, выполняют атаки. Инструменты, такие как Velociraptor, перепрофилированная платформа DFIR, использовались для управления, а также для различных методов сбора учетных записей и протоколов, таких как Rclone, для эксфильтрации данных. Их операции также включали набор инструментов, направленных на уклонение от обнаружения и восстановление учетных данных, включая программы, такие как Mimikatz и пользовательские сборщики данных.

Оперативный план Gentlemen указывает на хорошо организованную систему координации атак и распределения ресурсов, подчеркивая их стратегическую ориентацию на высокоценные цели при сохранении значительного объема операций. Утечка данных раскрывает, как они выбирают цели, управляют вторжениями и калибруют вымогательские требования, основываясь на понимании финансового положения жертв. По мере эволюции групп вымогателей такие утечки подчеркивают необходимость проактивных мер безопасности, особенно в отношении непропатченного программного обеспечения и мониторинга несанкционированного использования учетных данных, чтобы подготовиться к этим скоординированным операциям.

#ParsedReport #CompletenessHigh
14-05-2026

FrostyNeighbor: Fresh mischief and digital shenanigans

https://www.welivesecurity.com/en/eset-research/frostyneighbor-fresh-mischief-digital-shenanigans/

Report completeness: High

Actors/Campaigns:
Ghostwriter (motivation: cyber_espionage, disinformation)

Threats:
Spear-phishing_technique
Picassoloader
Cobalt_strike_tool
Credential_harvesting_technique

Victims:
Government, Military, Defense, Industrial and manufacturing, Healthcare and pharmaceuticals, Logistics, Private sector, Eastern europe

Industry:
Logistic, Telco, Healthcare, Military, Government

Geo:
Ukraine, Poland, Belarus, Polish, Lithuania, Ukrainian

TTPs:
Tactics: 8
Technics: 15

IOCs:
Url: 3
File: 7
Hash: 13
Domain: 8

Soft:
Slack, ndcube, whi

Algorithms:
base64

Languages:
visual_basic, javascript, powershell

Links:
https://github.com/eset/malware-ioc/tree/master/frostyneighbor

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
FrostyNeighbor, белорусская группа кибершпионажа, нацелена на правительственные организации Украины, используя передовое ВПО и сложные методы. Они эксплуатируют уязвимости, такие как уязвимость Windows RAR (CVE‑2023‑38831), и применяют тактики Целевой фишинг с оружиемизированными документами для доставки вредоносного PicassoLoader, который действует как загрузчик для Cobalt Strike beacons. Это ВПО собирает системную информацию для сервера управления, позволяя дальнейшую эксплуатацию и эксфильтрацию данных.
-----

FrostyNeighbor, давняя группа кибершпионажа, предположительно действующая из Беларуси, была выявлена как целенаправленно атакующая правительственные организации в Украине с марта 2026 года. Эта группа примечательна непрерывной эволюцией своих тактик атаки, используя широкий спектр сложного вредоносного программного обеспечения (ВПО) и методов эксплуатации для обеспечения того, чтобы её операции оставались незамеченными. Основной фокус FrostyNeighbor направлен на правительственные, военные и критически важные сектора в Восточной Европе, особенно в Украине, Польше и Литве.

Группа использует различные методы для компрометации своих целей, включая кампании целевого фишинга, которые развертывают оружие в форматах документов, таких как PDF, CHM, XLS, PPT и DOC. В последнее время они эксплуатировали уязвимость Windows RAR (CVE‑2023‑38831) и легитимные сервисы, такие как Slack, для доставки вредоносных загрузок. Кроме того, заметной техникой является серверная проверка на стороне сервера, чтобы убедиться, что жертва соответствует определенным критериям перед доставкой финальной загруз

Недавние технические разработки включают развертывание загрузчика под названием PicassoLoader, который является универсальным и написан на различных языках программирования, включая .NET, PowerShell, JavaScript и C++. Это ВПО предназначено для загрузки Cobalt Strike beacon — широко используемого фреймворка для пост-эксплуатации, — доставка которого маскируется под безобидные файлы или изображения.

Текущие атаки используют новую цепочку компрометации, инициируемую через Целевой фишинг-письма с вложением в виде PDF-файла с названием "53_7.03.2026_R.pdf". Этот PDF-файл, имитирующий украинскую телекоммуникационную компанию, предназначен для того, чтобы заставить жертв загрузить вредоносный архив RAR, содержащий загрузчик на JavaScript. Данный загрузчик выполняет различные этапы атаки с использованием дополнительных полезной нагрузки, предназначенных для получения постоянного доступа к системе жертвы. После запуска PicassoLoader собирает критически важную системную информацию, такую как учетные данные пользователей и запущенные процессы, и отправляет их на сервер управления (C&C) по протоколу HTTPS для дальнейшей эксплуатации.

Управление через каналы управления осуществляется с использованием HTTPS, что повышает скрытность ВПО, в то время как функциональность PicassoLoader позволяет проводить эксфильтрацию данных и выполнять дополнительные команды на основе ответов, получаемых от сервера управления. Примечательно, что решения оператора о доставке дополнительных полезной нагрузки принимаются на основе информации, собранной от жертв.

В заключение, адаптивные тактики FrostyNeighbor свидетельствуют о хорошо устоявшейся операционной зрелости, постоянном совершенствовании своих методов и использовании эволюционирующих вариантов ВПО для нацеливания на государственные и военные структуры Восточной Европы. Стойкая угроза, исходящая от этого актора, подчеркивает постоянную необходимость бдительности и продвинутых возможностей обнаружения в киберзащите.

#ParsedReport #CompletenessMedium
14-05-2026

Active Supply Chain Attack: Malicious node-ipc Versions Published to npm

https://www.stepsecurity.io/blog/node-ipc-npm-supply-chain-attack#indicators-of-compromise

Report completeness: Medium

Actors/Campaigns:
Node-ipc_compromise

Threats:
Supply_chain_technique
Credential_stealing_technique
Credential_harvesting_technique
Typosquatting_technique

Victims:
Software development, Devops, Cloud services, Code repositories, Developer machines, Build pipelines

Industry:
Transport

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1041, T1059.007, T1071.004, T1083, T1140, T1195.001, T1480.001, T1552.001, have more...

IOCs:
Email: 1
File: 28
IP: 3
Domain: 1
Hash: 10

Soft:
Node.js, Kubernetes, Claude, Alibaba Cloud, MinIO, macOS, Linux, Anthropic, PostgreSQL, MySQL, have more...

Algorithms:
md5, hmac, sha256, gzip, sha1

Functions:
setImmediate, statSync, readdirSync, _0x485bae

Win API:
lockfile

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
14 мая 2026 года в реестр npm были загружены вредоносные версии библиотеки node-ipc, содержащие 80 КБ вредоносного кода для кражи учетных данных. Этот код, эксплуатируя механизм загрузки модулей CommonJS, нацелен на чувствительные учетные данные, такие как ключи AWS и SSH, и осуществляет эксфильтрацию данных на сервер, замаскированный под инфраструктуру Azure. Самая последняя версия уникально реализует целевой фильтр для обеспечения активации только на определенных системах, а также использует манипуляции с DNS для скрытности при эксфильтрации данных.
-----

14 мая 2026 года в реестр npm были опубликованы три вредоносные версии библиотеки node-ipc — версии 9.1.6, 9.2.3 и 12.0.1 — каждая из которых содержала зашифрованный payload для кражи учетных данных. Атаку осуществил аккаунт maintainer atiertant, не имевший предыдущей истории, связанной с этим пакетом. Вредоносный payload размером около 80 КБ незаметно собирает более 90 категорий конфиденциальных учетных данных, включая учетные данные AWS, Azure, GCP, SSH-ключи и пароли баз данных. После загрузки скомпрометированной библиотеки с помощью функции require() payload выполняется и передает данные на сервер, контролируемый злоумышленником, который маскируется под инфраструктуру Azure.

Все скомпрометированные версии содержали идентичный CommonJS-пакет, что свидетельствовало об их принадлежности к скоординированной операции подготовки. Вредоносная нагрузка представляет собой немедленно вызываемое функциональное выражение (IIFE), которое активируется при загрузке модуля, обходя механизмы обнаружения, которые отслеживают только скрипты во время установки. В частности, это IIFE использует механизм загрузки модулей Node.js, что позволяет ему выполняться безупречно каждый раз, когда библиотека требуется, без дополнительных триггеров.

Версия 12.0.1 уникально реализует целевой фильтр, который выполняет проверку отпечатка SHA-256 пути модуля загрузчика. Эта мера гарантирует, что полезная нагрузка выполняется исключительно на системах, соответствующих предварительно вычисленному хешу, делая её неактивной во всех остальных средах. В отличие от этого, более ранние версии 9.x не имеют такого фильтра и выполняются независимо, что увеличивает потенциальное воздействие.

Полезная нагрузка является сложной и использует множество техник уклонения, таких как манипуляция с DNS-резолвером для обхода средств защиты и прямая эксфильтрация собранных данных. Атакующий использовал публичный DNS-резолвер и домен с опечаткой (sh.azurestaticprovider.net) для сокрытия своей активности, маскируя запросы на эксфильтрацию в рамках нормальных шаблонов трафика и предотвращая обнаружение с помощью стандартных методов DNS-логирования.

Последствия для безопасности значительны для разработчиков и сред CI/CD, в которых были установлены какие-либо из затронутых версий. Организациям рекомендуется немедленно ротировать любые учетные данные, которые могли присутствовать в течение периода использования скомпрометированных пакетов, особенно для сред, чувствительных к эксфильтрации учетных данных. Рекомендуется внедрить контроль исходящего трафика для ограничения исходящего трафика от CI/CD-раннеров к известным безопасным конечным точкам, а также провести аудит всех зарегистрированных действий на предмет необычного сетевого поведения или несанкционированного доступа.

Этот инцидент подчеркивает постоянную угрозу, исходящую от атак на Цепочка поставок, особенно тех, которые нацелены на спящие сторонние пакеты с высоким количеством загрузок. Он демонстрирует необходимость проактивных мер, таких как мониторинг вредоносных публикаций и строгие протоколы безопасности при управлении пакетами.

#ParsedReport #CompletenessLow
15-05-2026

Attackers replaced JDownloader installer downloads with malware

https://www.malwarebytes.com/blog/news/2026/05/attackers-replaced-jdownloader-installer-downloads-with-malware

Report completeness: Low

Victims:
Jdownloader users

ChatGPT TTPs:
do not use without manual check
T1195.002

IOCs:
Domain: 1

Soft:
Linux, macOS

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сайт JDownloader подвергся инциденту безопасности 6-7 мая 2026 года, в результате которого установщики для Windows и Linux были скомпрометированы троянской программой удаленного доступа (RAT) на базе Python, предоставившей злоумышленникам несанкционированный доступ к системам жертв. Пользователи, загрузившие эти установщики в указанный период, находились в зоне риска, тогда как те, кто обновил свое программное обеспечение, по сообщениям, не пострадали. Этот инцидент подчеркивает опасность загрузки программного обеспечения из скомпрометированных источников.
-----

6–7 мая 2026 года на веб-сайте JDownloader произошла утечка безопасности, приведшая к компрометации его установщика для Windows (Windows Download Alternative Installer) и установщика для Linux (Linux shell installer). Хотя другие варианты загрузки, включая macOS, JAR-файлы, Flatpak, Winget и Snap-пакеты, остались без изменений, пользователи, скачавшие эти скомпрометированные установщики в ходе инцидента, оказались в зоне риска. Ключевым вредоносным компонентом, внедренным в эти установщики, стала троянская программа для удаленного доступа (RAT) на базе Python, которая позволяла злоумышленникам получать несанкционированный доступ к системам жертв.

Пользователи, которые применили обновления в течение этого периода, reportedly не пострадали от вредоносного ПО. Это подчеркивает важность своевременных обновлений, но также указывает на риски, связанные с загрузкой программного обеспечения из скомпрометированных источников. Для смягчения потенциальных угроз рекомендуется выполнять полное сканирование системы с помощью надежных решений по борьбе с вредоносным ПО, что может помочь в обнаружении и нейтрализации таких угроз. В ответ на этот инцидент Malwarebytes предпринял меры по блокировке доменов, связанных с RAT, тем самым обеспечив дополнительный уровень защиты для своих пользователей от этой конкретной угрозы.

#ParsedReport #CompletenessLow
15-05-2026

Sorry ransomware exploits cPanel authentication bypass

https://www.threatlocker.com/blog/sorry-ransomware-exploits-cpanel-authentication-bypass

Report completeness: Low

Victims:
Web servers, Linux servers, Web hosting

Industry:
Healthcare, Education

CVEs:
CVE-2026-41940 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cpanel (<86.0.41, <110.0.97, <118.0.63, <124.0.35, <126.0.54)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1016, T1018, T1021.004, T1033, T1046, T1070.004, T1082, T1083, T1105, T1110.001, have more...

IOCs:
File: 7
IP: 1

Soft:
cPanel, Linux, postgresql, mariadb, redis, mysql, onenote, outlook, steam, ubuntu, have more...

Algorithms:
aes, aes-gcm, md5, base64

Win Services:
dbeng50, dbsnmp, infopath, mydesktopqos, mydesktopservice, ocautoupds, ocomm, ocssd, powerpnt, sqbcoreservice, have more...

Languages:
golang

#ParsedReport #ExtractedSchema

Classified images:
code: 8, schema: 1, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа вымогателей Sorry использует уязвимость CVE-2026-41940 в cPanel критического уровня, которая позволяет осуществлять атаки с внедрением символов возврата каретки и перевода строки (CRLF) для обхода аутентификации на определенных версиях серверов Linux. Злоумышленники формируют запросы авторизации с закодированными символами CRLF для манипуляции файлами сессий, получая доступ к учетной записи root и развертывая вымогатель, написанный на языке Golang, который нацелен на системы Linux. Вымогатель использует некорректный механизм мьютекса и применяет шифрование RSA и AES, распространяясь по локальным SSH-соединениям с помощью атак брутфорс на известные хосты.
-----

Группа вымогательского ПО Sorry стала значительной угрозой, эксплуатируя критическую уязвимость в cPanel, идентифицированную как CVE-2026-41940. Эта уязвимость позволяет злоумышленнику использовать атаку с инъекцией CRLF (Carriage Return Line Feed), что дает возможность обойти аутентификацию на серверах Linux, работающих под управлением определенных версий cPanel/WHM. В частности, уязвимыми являются версии начиная с выпуска 11.42 и последующих версий, исправленных 1 мая 2026 года, которые не обеспечивают надлежащую очистку входных данных.

Процесс эксплуатации начинается, когда злоумышленники отправляют специально сформированный запрос авторизации, содержащий закодированные символы CRLF. Эти символы не удаляются из полей ввода, что приводит к несанкционированной записи файлов сеанса, которыми можно манипулировать. С помощью сформированного запроса GET, не содержащего токен безопасности, злоумышленники могут активировать различные потоки управления, позволяющие внедрять вредоносные значения в файлы сеанса. Это приводит к обходу проверок аутентификации, предназначенных для защиты системы, и фактически предоставляет злоумышленникам доступ с правами root.

Получив доступ, злоумышленники развертывают ransomware Sorry, написанный на Golang и предназначенный для целевой атаки на системы Linux. Ransomware создает файл блокировки в директории /tmp в качестве мьютекса выполнения, который призван предотвращать одновременный запуск нескольких экземпляров. Однако механизм мьютекса работает некорректно, что позволяет запускать несколько экземпляров одновременно, что может привести к сбоям в процессе шифрования.

Шифровальщик инициирует создание уникального идентификатора жертвы и устанавливает связь с инфраструктурой управления. Он выполняет шифрование с использованием многоуровневого подхода — сначала генерирует пару ключей RSA, а затем применяет шифрование AES для целевых файлов. Шифровальщик целенаправленно воздействует на каталоги, начиная с корневых, отдавая приоритет определенным типам файлов, таким как документы и базы данных, прежде чем расширить область воздействия на другие типы файлов.

Более того, ransomware Sorry активно стремится распространяться через локальные SSH-соединения, используя систематическую методологию атаки. ВПО сканирует наличие SSH-сервисов и выполняет брутфорс-атаку по словарю против известных хостов, пытаясь получить доступ с использованием стандартных имен пользователей и паролей. Успешные подключения приводят к заражению этих хостов, позволяя ВПО размножаться и распространяться дальше.

Кампания подчеркивает критическую важность своевременного обновления патчей и бдительности в отношении уязвимостей. Быстрые темпы, с которыми ransomware Sorry использует вновь обнаруженные уязвимости, выделяют серьезную угрозу для организаций, которые могут не обеспечивать надлежащую защиту своих систем или своевременно обновлять уязвимое программное обеспечение, что приводит к потенциальному массовому шифрованию и потере данных.

#ParsedReport #CompletenessMedium
15-05-2026

INPS-themed smishing: fake fuel bonus

https://cert-agid.gov.it/news/smishing-a-tema-inps-falso-bonus-carburante/

Report completeness: Medium

Actors/Campaigns:
Fuel_bonus (motivation: information_theft)

Threats:
Smishing_technique
Darcula_tool

Victims:
Public administration, Social security

Industry:
Petroleum

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1056.003, T1132.001, T1566.002

IOCs:
Domain: 14
Url: 44

Algorithms:
base64, zip

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CERT-AGID выявил кампании смишинга с использованием бренда INPS для обмана жертв с целью получения информации об их кредитных картах под предлогом предоставления субсидий на топливо. Жертвы получают SMS-сообщения, в которых их призывают подать заявку на субсидию в размере 300 евро через мошеннический веб-сайт, имитирующий мобильный интерфейс INPS, при этом для многоэтапных фишинговых тактик используется платформа Фишинг как услуга Darcula. Вредоносный JavaScript был зашифрован, а украденные данные отправляются безопасно через зашифрованные POST-запросы, что указывает на продуманные усилия по защите информации от перехвата.
-----

CERT-AGID выявил новые кампании смишинга, использующие бренд INPS (Итальянский национальный институт социального обеспечения) для обмана жертв с целью заставить их перейти по ссылкам, предлагающим субсидии на топливо. Эти сообщения якобы предоставляют финансовую помощь из-за роста цен на топливо и в конечном итоге направлены на сбор информации о кредитных картах для несанкционированных транзакций.

Жертвы получают SMS-сообщение, имитирующее коммуникации от INPS, в котором ложно утверждается, что они имеют право на топливную субсидию в размере 300 евро. Сообщение создает ощущение срочности, указывая дату подачи заявки 16 мая 2026 года, что побуждает получателей перейти по вредоносной ссылке. При переходе пользователи направляются на мошеннический веб-сайт, который визуально напоминает официальный мобильный интерфейс INPS, специально разработанный для доступа со смартфонов и предназначенный для сбора персональных данных под видом заявки на компенсацию.

Анализ техник, использованных в этой смишинг-мошеннической схеме, указывает на участие платформы Фишинг как услуга (PHaaS), известной как Darcula. Этот фреймворк известен своими мобильно-ориентированными многоэтапными фишинг-комплектами, направленными на извлечение конфиденциальной личной и финансовой информации. Анализ показал, что компоненты JavaScript, связанные с мошеннической схемой, были зашифрованы, что является общей характеристикой, ассоциируемой с более сложным поведением ВПО. После дешифровки код показал элементы, относящиеся к экосистеме Darcula.

Кроме того, обработка данных, собранных с жертв, осуществляется по определённому методу: похищенная информация передаётся в POST-запросах и шифруется с использованием схемы на основе пароля и соли, после чего кодируется в Base64 перед отправкой. Такой уровень технической сложности свидетельствует о целенаправленных усилиях по сокрытию истинной природы данных и их защите от перехвата во время передачи.

В ответ на эти угрозы CERT-AGID предпринял проактивные меры, уведомив отдел ИТ-безопасности INPS, обратившись к регистраторам с требованием удалить вредоносные домены и распространив индикаторы компрометации, чтобы помочь организациям снизить риски, связанные с этой кампанией смишинг.

#ParsedReport #CompletenessMedium
15-05-2026

Welcome to BlackFile: Inside a Vishing Extortion Operation

https://cloud.google.com/blog/topics/threat-intelligence/blackfile-vishing-extortion-operation/

Report completeness: Medium

Actors/Campaigns:
Cordial_spider (motivation: information_theft)
Shinyhunters
Unc6240

Threats:
Aitm_technique
Credential_harvesting_technique

Industry:
Government

Geo:
America, Australia

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1020, T1036, T1059.001, T1059.006, T1078.004, T1083, T1087.004, T1090.002, T1114.002, T1119, have more...

IOCs:
IP: 1
File: 3

Soft:
Zendesk, Salesforce, Microsoft Office, Gmail, ServiceNow, Microsoft Teams, Microsoft Defender, Outlook

Functions:
as

Languages:
powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4