#ParsedReport #CompletenessMedium
04-06-2026

How 56 npm packages used binding.gyp to steal CI/CD secrets

https://www.reversinglabs.com/blog/npm-bindinggyp-cicd-secrets

Report completeness: Medium

Threats:
Supply_chain_technique
Miasma

Victims:
Developer tooling, Apm frameworks, Voice ai sdks, Ci and cd environments, Github actions workflows, Npm ecosystem

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1027.009, T1027.013, T1059.006, T1059.007, T1070.004, T1102.001, T1105, T1140, have more...

IOCs:
File: 10
Hash: 4

Soft:
PostgreSQL, Node.js, TRAVIS, CIRCLECI, Kubernetes, HashiCorp Vault, Telegram, Discord, Slack, Claude, have more...

Algorithms:
base64, pbkdf2, aes-256-gcm, bcrypt

Functions:
eval

Languages:
typescript, javascript, python

Links:
https://api.github.com/user

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака через цепочку поставок нацелилась на экосистему npm с выпуском 286 вредоносных версий в 56 пакетах, используя файл binding.gyp для выполнения произвольного кода и обхода проверок безопасности. Атака включала обфускацию и несколько уровней шифрования, что позволяло осуществлять эксфильтрацию учетных данных через API GitHub. Выпуская эти вредоносные обновления как незначительные изменения, злоумышленник стремился проникнуть в среды CI/CD и скомпрометировать учетные данные разработчиков, внедряясь в цепочку поставок программного обеспечения.
-----

В ходе масштабной атаки на цепочку поставок злоумышленник эксплуатировал экосистему npm, выпустив 286 вредоносных версий 56 пакетов, которые использовали файл binding.gyp для компрометации безопасности CI/CD. В отличие от стандартных практик, ни один из пакетов не выполнял хуки жизненного цикла, которые обычно проверяются на предмет безопасности. Вместо этого они применяли файл binding.gyp — конфигурацию сборки, используемую преимущественно для нативных интеграций C/C++, для запуска произвольного кода. Этот подход позволил обойти обычные меры безопасности, поскольку разработчики часто игнорируют этот конкретный файл, который обычно не ассоциируется с пакетами, написанными исключительно на JavaScript.

Атака развернулась в течение стремительных десяти часов, начавшись с первоначального кластера из 16 пакетов, опубликованных в течение нескольких секунд, за которыми вскоре последовали остальные. Все затронутые пакеты содержали файл binding.gyp, который не был необходим для их функционирования, что указывает на компрометацию учетной записи, поскольку злоумышленник использовал токены npm publish для прямой загрузки. Полезная нагрузка пакета была намеренно зашифрована и хранилась внутри чрезвычайно большого файла JavaScript, загружаемого через binding.gyp.

Скрипт загрузки (index.js) инициировал этот вредоносный код, который включал трехуровневый процесс шифрования, приводящий к процедуре расшифровки, способной получать доступ к конфиденциальным хранимым данным и выполнять их. Каждая из вредоносных версий содержала уникальные ключи AES-128-GCM, обеспечивая изоляцию кода между различными версиями. Выполняемый код использовал такие техники, как проверка наличия среды выполнения JavaScript Bun, запуск подпроцессов, наследующих окружение — включая секреты CI/CD — с использованием глобального метода eval, а также реализацию анти-форензики путем удаления временных файлов после выполнения.

После расшифровки модуль открывал еще один слой шифрования, использующий собственный потоковый шифр, защищенный мастер-ключом PBKDF2, в конечном итоге раскрывая скрипты, которые включали механизмы эксфильтрации учетных данных через API GitHub. Собранная учетная информация разработчиков тайно коммитилась в контролируемые злоумышленниками репозитории, маскируя трафик под легитимные автоматические запросы. Кроме того, злоумышленник использовал токены OpenID Connect GitHub Actions для повторной публикации скомпрометированных пакетов и внедрения себя глубже в Цепочку поставок.

Вредоносные версии были стратегически выбраны в качестве незначительных или патчных обновлений по отношению к легитимным релизам, что минимизировало подозрения и облегчало автоматическую установку в рамках гибких ограничений версионирования. Систематический характер этой кампании, характеризующийся агрессивным выпуском версий, был направлен на значительное проникновение в среды разработчиков, расширяя границы, которые могли поставить под угрозу целые кодовые базы и интеграции в различных проектах.

#ParsedReport #CompletenessLow
07-06-2026

Miasma Worm Hits Microsoft Again: Azure Functions Action and 72 Other Repositories Disabled After Supply Chain Attack Targeting AI Coding Agents

https://www.stepsecurity.io/blog/miasma-worm-hits-microsoft-again-azure-functions-action-and-72-other-repositories-disabled-after-supply-chain-attack-targeting-ai-coding-agents

Report completeness: Low

Actors/Campaigns:
Teampcp

Threats:
Supply_chain_technique
Miasma
Credential_harvesting_technique

Victims:
Microsoft, Github, Software development, Cloud computing

ChatGPT TTPs:
do not use without manual check
T1027, T1059.007, T1195.001, T1546, T1550.001, T1552.001

IOCs:
File: 3
Domain: 3

Soft:
Azure Functions, Claude, Kubernetes, CosmosDB, Redis, Node.js, Docker, Visual Studio, RabbitMQ, OpenAI, have more...

Algorithms:
zip

Languages:
typescript, javascript, python, powershell, java

Platforms:
apple, cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
5 июня 2026 года организации Azure GitHub подверглись взлому в ходе кампании червя Miasma, инициированной скомпрометированной учетной записью контрибьютора, которая отключила 73 репозитория с помощью вредоносного коммита в репозиторий Azure/durabletask. Коммит добавил конфигурационные файлы, которые выполняли payload для сбора учетных записей в средах ИИ-кодинга при их открытии, что ознаменовало сдвиг от предыдущей атаки, эксплуатировавшей установку пакетов. Эти атаки продемонстрировали сложное обход традиционных средств защиты и были связаны с хакерской группировкой TeamPCP.
-----

5 июня 2026 года организации Microsoft Azure GitHub подверглись значительному нарушению безопасности, когда кампания червя Miasma использовала скомпрометированную учетную запись контрибьютора. Атака привела к отключению 73 репозиториев в четырех организациях Microsoft GitHub после того, как в репозиторий Azure/durabletask был внесен вредоносный коммит. Этот коммит добавил конфигурационные файлы, предназначенные для выполнения payload для сбора учетных записей каждый раз, когда разработчики открывали репозиторий с использованием определенных AI-сред разработки, таких как Claude Code, Gemini CLI, Cursor или Visual Studio Code.

Этот инцидент следует за предыдущей компрометацией 19 мая, когда вредоносные версии пакета durabletask из PyPI были загружены с внедрением полезной нагрузки, способной красть учетные данные из различных облачных платформ и инструментов разработки. Изначальная компрометация обошла конвейер CI/CD путем использования украденного токена публикации для прямой загрузки в PyPI. Однако атака 5 июня ознаменовала стратегический сдвиг; выполнение атаки переместилось с эксплуатации установки пакетов на использование действий открытия в инструментах разработки, эффективно обходя традиционные защиты цепочки поставок. Механизм срабатывания полезной нагрузки включал специальные хуки, размещенные в конфигурационных файлах этих редакторов, в частности .claude/settings.json и .gemini/settings.json, которые выполняли полезную нагрузку в начале сессии.

Злоумышленнический коммит скрыл свои истинные намерения, представив свои изменения как улучшение кода. Однако при проверке выяснилось, что коммит не изменял исходный код, а вместо этого добавил файлы, все из которых указывали на зашифрованный JavaScript- payload объемом 4,6 МБ, предназначенный для сбора учетных записей. После внесения скомпрометированного коммита автоматическая система обнаружения GitHub оперативно отключила затронутые репозитории, подтвердив, что эти действия были направлены и не являлись частью более широкой кампании.

Эта атака критически повлияла на Azure/functions-action, нарушив работу официального GitHub Action, отвечающего за развертывание Azure Functions, что немедленно создало операционные проблемы для рабочих процессов, ссылающихся на него. Расследования связали этот инцидент с текущей кампанией червя Miasma, которая нацелена на множество учетных записей и репозиториев, потенциально связанных с хакерской группировкой TeamPCP.

Разработчикам и организациям, взаимодействовавшим с затронутыми репозиториями, рекомендуются немедленные меры по устранению уязвимостей. Это включает в себя рассмотрение любых систем, к которым был получен доступ после 2 июня 2026 года, как скомпрометированных, поскольку полезная нагрузка активируется при открытии репозитория, что требует тщательной ротации учетных данных и проверки любого репозитория на наличие несанкционированных коммитов с определенными шаблонами файлов.

Профилактические меры на будущее включают тщательную проверку клонированных репозиториев на наличие подозрительных конфигурационных файлов перед их открытием в редакторе, установление правил защиты веток, использование доверенных методов публикации в реестрах пакетов и внедрение надежных ограничений сетевого доступа для обнаружения и блокировки соединений с известными доменами управления.

#ParsedReport #CompletenessLow
05-06-2026

Silent Ransom Group (SRG): Uncovering DNS Fast Flux Infrastructure

https://www.resecurity.com/blog/article/silent-ransom-group-srg-uncovering-dns-fast-flux-infrastructure

Report completeness: Low

Actors/Campaigns:
Luna_moth (motivation: cyber_criminal, information_theft)
Nokoyawa
Gamaredon (motivation: cyber_criminal)

Threats:
Fastflux_technique
Supply_chain_technique

Victims:
Law firms, Healthcare, Hotels, Finance, Insurance

Industry:
Telco, Financial, Healthcare, Iot

Geo:
London, Canadian, Latin america, Sydney, Dominican, New zealand, Egypt, Spanish, America, Russian, North macedonia, Costa rica, Tokyo, Colombia, Africa, Latin american, Middle east, Ecuador, Saudi arabia, Singapore, New york, South korea, Brazil, Dominican republic, Kyrgyzstan, Korea, Argentina, Saudi, Macedonia, Panama, Mexico, Croatia, Tunisia, Jamaica, Uzbekistan, Australian, Moscow, Riyadh, American, Asia, Gyeonggi-do, Bulgaria, Bolivia, Peru

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1090, T1199, T1566.004, T1568.001, T1583.001, T1583.002, T1584.005, T1656

IOCs:
Domain: 305
Url: 2
IP: 29

Soft:
TOR browser

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Silent Ransom Group (SRG), также известная как Luna Moth или UNC3753, фокусируется на краже данных и вымогательстве, а не на шифровании, нацеливаясь на чувствительные сектора, такие как юридические услуги и здравоохранение, по крайней мере с 2022 года. Их операции включают сложную социальную инженерию, включая имперсонацию и физическое проникновение, поддерживаемые инфраструктурой Fast Flux для поддержания анонимности через вращающуюся сеть скомпрометированных устройств, преимущественно IoT и CPE. SRG эксплуатирует уязвимости сторонних поставщиков для косвенного доступа к юридическим фирмам, применяя агрессивные тактики переговоров о выкупе.
-----

Группа Silent Ransom Group (SRG), также известная как Luna Moth и UNC3753, осуществляет схему кибершантажа как минимум с 2022 года, делая акцент на краже данных, а не на их шифровании. SRG нацелена на чувствительные сектора, такие как юридические фирмы, здравоохранение, финансы и страхование. Группа использует тактики социальной инженерии и физического проникновения для доступа к системам с конфиденциальными данными. SRG использует сайты утечек данных в Clearnet и передовую инфраструктуру DNS Fast Flux для обеспечения анонимности и устойчивости. Их техника Fast Flux скрывает вредоносные серверы за изменяющейся сетью скомпрометированных устройств, усложняя защитные меры. Инфраструктура включает ботнет, состоящий из скомпрометированных устройств Интернета вещей (IoT) и клиентского оборудования (CPE). Юридические фирмы нацелены специально из-за управления ими конфиденциальными данными клиентов. Тактики включают имперсонацию ИТ-персонала и использование стратегий обратного фишинга и голосового фишинга. Оперативники SRG могут физически проникать в юридические офисы для повышения успешности кражи данных. Они эксплуатируют уязвимости сторонних поставщиков для косвенного доступа к юридическим фирмам. SRG ведет упорные переговоры о выкупе, оказывая прямое давление на жертв. В отличие от многих киберпреступников, SRG использует хостинг Clearnet для своих сайтов утечек, делая их более доступными для жертв. Их сеть Fast Flux усложняет усилия по атрибуции и смягчению последствий из-за использования IP-адресов жилых помещений. Связь с другими подпольными проектами, такими как Spy Corporate, предполагает потенциальное расширение или сотрудничество в рамках их деятельности.

#ParsedReport #CompletenessLow
08-06-2026

2026 FIFA World Cup Threat Landscape: The Kickoff for Cybercriminals

https://socradar.io/blog/2026-fifa-world-cup-threat-landscape/

Report completeness: Low

Actors/Campaigns:
Cyberav3nger
Irgc
Handala-hacking-team
Sandworm
Fancy_bear
Noname057 (motivation: propaganda, hacktivism)
Storm-1679
Storm-1099
Doppelgnger

Threats:
Credential_harvesting_technique
Vidar_stealer
Lumma_stealer
Typosquatting_technique
Olympic_destroyer
Ddosia_botnet
Supply_chain_technique

Victims:
Fans, Travelers, Sponsors, Broadcasters, Hospitality providers, Businesses, Government services, Water and wastewater, Energy, Critical infrastructure, have more...

Industry:
Healthcare, Iot, Entertainment, Foodtech, Transport, E-commerce, Critical_infrastructure, Government, Ics, Energy, Telco, Financial, Aerospace, Military, Logistic

Geo:
Iranian, Korea, Ukrainian, Israel, Canada, North korea, United states, China, Mexico, Russian, Russia

ChatGPT TTPs:
do not use without manual check
T1072, T1078, T1098, T1110.004, T1204, T1485, T1486, T1491.001, T1498, T1531, have more...

IOCs:
Domain: 3
File: 1

Algorithms:
cbc

#ParsedReport #ExtractedSchema

Classified images:
schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
По мере приближения Чемпионата мира по футболу 2026 года возникает несколько киберугроз, в частности кампании фишинга и мошеннические сайты по продаже билетов, использующие учетные данные пользователей. Акторы-государства, включая группы, связанные с Ираном, и структуры, выровненные с Россией, представляют угрозу через вторжения, нацеленные на критическую инфраструктуру, и деструктивные действия. Слияние хактивизма и киберкриминала очевидно: группы, такие как NoName057(16), применяют тактики DDoS, а угрозы социальной инженерии в гостиничном секторе, как ожидается, возрастут во время турнира.
-----

Кампании фишинга, направленные против участников и зрителей ФИФА, набирают обороты, при этом ФБР отмечает значительную активность, связанную с доменами мошеннической продажи билетов.

Злоумышленники используют клонированные порталы продажи билетов для перехвата учетных данных пользователей, что способствует краже учетных данных и мошеннической продаже билетов.

Акторы, связанные с государствами, особенно иранские группы, эксплуатируют уязвимости в программируемых логических контроллерах, доступных через интернет, в критической инфраструктуре США.

Группировка CyberAv3ngers, связанная с Корпусом стражей исламской революции (IRGC), нацелилась на муниципальные ресурсы, имеющие ключевое значение для городов-хозяев чемпионата мира по футболу.

Группы, лояльные России, имеют историю деструктивных кибердействий во время крупных мероприятий, что может привести к эскалации во время Чемпионата мира по футболу.

Пророссийская группа NoName057(16) проводит атаки типа «отказ в обслуживании» (DDoS) против государств — членов НАТО, используя Чемпионат мира в качестве платформы.

Риски социальной инженерии в гостиничном секторе возрастают, при этом взаимосвязанные системы уязвимы для угроз программ-вымогателей.

Наблюдается повышенный потенциал проведения операций по влиянию с использованием контента, сгенерированного искусственным интеллектом, включая применение технологии дипфейков для распространения дезинформации.

Организациям рекомендуется усиливать кибербезопасность посредством мониторинга доменов и обнаружения утечки учетных данных, уделяя особое внимание протоколам безопасности электронной почты для предотвращения компрометации бизнес-электронной почты.

Рекомендуется проводить подготовку к DDoS-атакам и проходить углублённое обучение для сотрудников с целью противодействия попыткам социальной инженерии, чтобы обеспечить непрерывность операционной деятельности.

#ParsedReport #CompletenessHigh
05-06-2026

Dark Web Profile: Vect Ransomware

https://socradar.io/blog/dark-web-profile-vect-ransomware/

Report completeness: High

Actors/Campaigns:
Vect (motivation: financially_motivated)
Teampcp
Dragonforce

Threats:
Supply_chain_technique
Conti
Lockbit
Qtox_tool
Devman
Credential_harvesting_technique
Shadow_copies_delete_technique
Winrm_tool
Rclone_tool
Canisterworm
Windows_locker

Victims:
Technology, Financial services, Healthcare, Manufacturing, Business services, Energy, Consumer services, Education, Agriculture & food production

Industry:
Energy, Foodtech, Healthcare, Education, E-commerce

Geo:
Israel, Russia, South africa, Brazil, Kazakhstan, Italy, Egypt, Africa, Ukraine, India, Spain, Belarus

TTPs:
Tactics: 10
Technics: 31

IOCs:
File: 3
Command: 1

Soft:
Trivy, LiteLLM, Linux, ESXi, Kubernetes, Microsoft Defender, MariaDB, MySQL, PostgreSQL, Redis, have more...

Crypto:
monero, bitcoin

Algorithms:
poly1305, chacha20, xor, chacha20-poly1305, base64

Functions:
randombytes, Set-MpPreference

Win API:
NtQueryInformationProcess, NetShareEnum, MoveFileExW

Languages:
python, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ransomware Vect, запущенный в декабре 2025 года как финансово мотивированная модель двойного вымогательства RaaS, быстро создал широкую сеть аффилиатов благодаря низкой стоимости входа и партнерствам с группами, такими как TeamPCP. Он использует уязвимости в Цепочке поставок для получения первоначального доступа через CI/CD-конвейеры, что позволяет осуществлять масштабную эксфильтрацию данных и компрометацию систем. Шифрование Vect использует алгоритм ChaCha20, но не обеспечивает защиту целостности сообщений, что ведет к потенциальной потере данных, тогда как его операционные методы включают отключение мер безопасности и применение тактик перемещения внутри компании для повышения привилегий в целевых сетях.
-----

Ransomware Vect начал свою деятельность 31 декабря 2025 года как операция по модели программы двойного вымогательства как услуга (ransomware-as-a-service).

Он рекламируется на российском форуме киберкриминала и быстро создал широкую сеть аффилиатов.

Группа продемонстрировала своих первых 25 жертв в течение четырех месяцев и сформировала альянсы с другими акторами, такими как TeamPCP.

Они используют скомпрометированные учетные данные из инцидентов в цепочке поставок, в частности в Trivy и Checkmarx KICS.

Вступительный взнос для аффилированных лиц составляет 250 долларов в Monero, с освобождением от уплаты для заявителей из Содружества Независимых Государств (CIS).

Аффилиаты получают доступ к конструктору вредоносного ПО для различных операционных систем и платформе для ведения переговоров с жертвами.

К середине апреля 2026 года BreachForums начал распространять ключи аффилиации Vect среди своей пользовательской базы, расширяя рекрутинг без требований к навыкам.

Атаки обычно эксплуатируют уязвимости цепочки поставок, нацеленные в рамках кампании TeamPCP, компрометируя конвейеры CI/CD для первоначального доступа.

Метод шифрования Vect использует алгоритм ChaCha20, но не обеспечивает защиту целостности сообщений, что может привести к потере данных.

Процесс шифрования содержит уязвимости, которые могут сделать невозможным восстановление значительных частей зашифрованных файлов.

Vect отключает механизмы безопасности, завершает защитные службы и проводит разведку системы перед запуском программы-вымогателя.

Они осуществляют перемещение внутри компании через Маскировка под легитимные операции, используя запланированные задачи для повышения привилегий.

Жертвы в основном находятся в Соединенных Штатах и Бразилии, при этом технологический сектор подвергся наиболее значительным нарушениям.

Для защиты от Vect организациям следует ротировать скомпрометированные учетные данные и усиливать сетевую защиту от трафика Tor.

Мониторинг специфических действий, связанных с Vect, и ведение строгого журнала регистрации критически важны для обнаружения.

Внедрение неизменяемых резервных копий и соблюдение лучших практик управления исправлениями может снизить риски, связанные с вымогательским ПО Vect.

#ParsedReport #CompletenessLow
08-06-2026

You do surprise me.exe: An unexpected executable in Hola Browser

https://www.sophos.com/blog/you-do-surprise-me-exe-an-unexpected-executable-in-hola-browser

Report completeness: Low

Threats:
Supply_chain_technique
Xmrig_miner

Victims:
Hola browser users, Software

ChatGPT TTPs:
do not use without manual check
T1195.002, T1496, T1562.001

IOCs:
File: 2
Hash: 4

Soft:
Windows Defender

Algorithms:
sha1, sha256, md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Браузер Hola был отмечен как содержащий исполняемый файл «Hola me.exe», который был идентифицирован как потенциально нежелательное приложение (PUA) во время тестирования безопасности, демонстрируя потенциальные риски для целостности программного обеспечения. Этот исполняемый файл ведет себя как криптомайнер, используя тактики, такие как инициация исключений в Windows Defender и включение строк, указывающих на функциональность майнера XMRig, что предполагает его цель — несанкционированную добычу Monero. Этот инцидент подчеркивает уязвимости в безопасности Цепочки поставок программного обеспечения и необходимость непрерывного мониторинга.
-----

Браузер Hola подвергся критике из-за неожиданного исполняемого файла, идентифицированного как «Hola me.exe», который был обнаружен в ходе независимых тестов безопасности. Компания AppEsteem, сертифицирующая программные продукты, провела тесты, в ходе которых браузер Hola был признан соответствующим требованиям; однако упомянутый исполняемый файл был помечен несколькими поставщиками решений безопасности как потенциально нежелательное приложение (PUA). Это вызывает опасения относительно целостности Цепочки поставок программного обеспечения, поскольку процесс сертификации, по-видимому, проверял только конкретный снимок браузера Hola, не учитывая дополнительные, потенциально вредоносные компоненты, которые были обнаружены позже.

Исполняемый файл «Hola me.exe» демонстрирует поведение, типичное для криптомайнера. Он добавляет исключение в Windows Defender, что позволяет ему функционировать без обнаружения средствами защиты. Наличие в бинарном файле строк, таких как «killed orphan miner pid %d user active» и «stopping miner m/cmd/xmrig-idle», указывает на то, что он основан на майнере XMRig, который обычно ассоциируется с майнингом Monero (XMR). Эти характеристики свидетельствуют о намерении исполняемого файла выполнять несанкционированный криптомайнинг на затронутых системах, что вызывает серьезные опасения относительно общего уровня безопасности Hola Browser и его связанных компонентов.

Обнаружение этого исполняемого файла подчеркивает не только потенциальные риски, связанные с процессами сертификации программного обеспечения, но и важность постоянной бдительности в отношении атак на цепочку поставок, которые могут внедрять неправомерное программное обеспечение в иначе легитимные приложения.

#ParsedReport #CompletenessLow
06-06-2026

PulseRAT - Google Sheets-based RAT Using UAE-India Partnership Lure

https://dmpdump.github.io/posts/PulseRAT/

Report completeness: Low

Threats:
Pulserat

Victims:
Defense, Government, Telecommunications

Industry:
Telco

Geo:
India, Afghanistan

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027.010, T1033, T1036.004, T1041, T1053.005, T1059.001, T1070.004, T1082, T1102.002, T1132.001, have more...

IOCs:
Path: 2
File: 5
Hash: 4

Soft:
Discord, Windows Task Scheduler

Algorithms:
base64, xor, sha256

Functions:
CreatePersistence

Win API:
NetBIOS

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4