#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PulseRAT, Троянская программа, обнаруженная в ISO-файле, связанном с оборонным партнерством между ОАЭ и Индией, использует .NET-дроппер для закрепления через запланированную задачу. Он использует Google Таблицы для связи по каналу управления, генерируя уникальный идентификатор для скомпрометированных хостов и применяя закодированные команды PowerShell для скрытой эксфильтрации данных. Его скрытные операции, включая сокрытие консоли и выполнение задач внутри runspace PowerShell, направлены на уклонение от обнаружения.
-----

19 мая 2026 года новая Троянская программа (RAT) под названием «PulseRAT» была обнаружена встроенной в ISO-файл с именем «UAE-India_Strategic_Partnership_Week.iso», который, по утверждениям, связан с оборонным партнерством между ОАЭ и Индией. Основной исполняемый файл, представляющий интерес, Document_11052026-03578240540350-93.exe, помечен как .NET-дроппер, изначально называвшийся FinalTool.exe и скомпилированный всего за несколько дней до его обнаружения.

После запуска этот дроппер проверяет наличие директории %LOCALAPPDATA%\Microsoft\Vault. Если директория отсутствует, он создает её и переходит к извлечению двух встроенных ресурсов. Дроппер обеспечивает закрепление через запланированную задачу под названием WindowsVaultSyncService с использованием COM-интерфейса Планировщика задач Windows. Эта задача настроена на выполнение двух действий: запуск через три минуты после создания и при входе пользователя в систему.

Сам RAT, доставляемый в виде vaultsvc.exe, использует Google Sheets для связи по каналу управления (C2). Изначально PulseRAT генерирует уникальный идентификатор (UID) для каждого скомпрометированного хоста, хешируя объединённые имя пользователя и имя машины алгоритмом SHA-256. RAT скрывает свою консоль и устанавливает необходимые свойства подключения через класс ServicePointManager перед вызовом своей основной функциональности через метод с именем Pulse.

Для обеспечения связи с C2-сервером PulseRAT расшифровывает идентификатор электронной таблицы и связанные учетные данные сервисного аккаунта с использованием уникального XOR-ключа посредством метода расшифровки, называемого JIT. Получив идентификатор электронной таблицы, он аутентифицируется в Google Sheets и проверяет наличие существующей записи для UID жертвы; если запись не найдена, создается новый лист.

RAT фиксирует системную информацию посредством выполнения PowerShell в процессе, выводя данные в контролируемую злоумышленником электронную таблицу. Он также способен читать и выполнять закодированные в base64 команды PowerShell из таблицы, возвращая результаты в том же закодированном формате, вместе с метками времени выполнения. Этот скрытный подход, использующий runspace PowerShell, направлен на избегание типичных методов обнаружения, которые возникли бы при запуске нового процесса PowerShell.

Дальнейшее расследование связанных артефактов привело к безобидному файлу Excel Compliance_Checklist.xlsx, связанному с пользователем Афганского регулятора телекоммуникаций. Хотя связь с RAT была слабой, она заслуживала внимания из-за совпадения имен машин и временных меток, что побудило продолжить анализ на предмет значимых связей между обнаруженными функциями PulseRAT и артефактом Excel. В целом, PulseRAT представляет собой сложный подход к установлению каналов C2 через легитимные облачные сервисы, используя учетные данные скрытным образом.

#ParsedReport #CompletenessLow
03-06-2026

Codex Discovered a Hidden HTTP/2 Bomb

https://blog.calif.io/p/codex-discovered-a-hidden-http2-bomb

Report completeness: Low

Threats:
Slowloris_technique

Victims:
Web servers, Apache httpd, Envoy, Nginx, Iis, Pingora

Industry:
Transport

CVEs:
CVE-2025-53020 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2026-49975 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2016-6581 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2016-1546 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2016-8740 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1499.002, T1499.003, T1499.004

Soft:
nginx, Docker

Links:
https://github.com/nginx/nginx/commit/365694160a85229a7cb006738de9260d49ff5fa2
have more...
https://github.com/apache/httpd/commit/47d3100b252dc6668a9e46ae885242be9eeca9cd
https://github.com/califio/publications/tree/main/MADBugs/http2-bomb

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
HTTP/2 Bomb — это сложное удалённое средство отказа в обслуживании (DoS), нацеленное на веб-серверы, использующие схему сжатия заголовков HPACK протокола HTTP/2. Атака использует техники из предыдущих уязвимостей, включая бомбу сжатия и удержание в стиле Slowloris, позволяя злоумышленникам перегружать серверы, отправляя большое количество 1-байтовых индексированных ссылок, требующих минимальной пропускной способности, но создающих значительные затраты на выделение памяти на стороне сервера. Кроме того, атака использует обработку заголовка cookie для обхода ограничений, достигая коэффициентов усиления до 4000:1 на некоторых серверах.
-----

Недавно раскрытая атака HTTP/2 Bomb представляет собой сложное удалённое средство отказа в обслуживании (DoS), направленное против множества широко используемых веб-серверов. Эта атака использует схему сжатия заголовков протокола HTTP/2, известную как HPACK. Комбинируя методы из предыдущих уязвимостей, в частности применяя бомбу сжатия и удержание в стиле Slowloris, атака способна быстро перегружать серверы.

Часть эксплойта HPACK Bomb заключается в заполнении динамической таблицы одним заголовком, а затем в рассылке тысяч однобайтовых индексированных ссылок на неё. Для атакующего эта операция обходится всего в один байт в сети, однако сервер несёт значительные затраты на выделение памяти, составляющие примерно 70 байт для nginx и IIS и почти 4 000 байт для таких серверов, как Apache httpd и Envoy. Вторая компонента, HTTP/2 Window Stall, заключается в установке нулевого окна управления потоком, что предотвращает завершение сервером формирования ответа. Одновременно атакующий отправляет однобайтовые фреймы WINDOW_UPDATE для постоянного сброса таймаута отправки, тем самым удерживая выделения памяти до тех пор, пока это позволяют настройки сервера.

Предыдущие итерации этих техник задокументированы, например, концепция HPACK Bomb, представленная Кори Бенфилдом в 2016 году, и связанные уязвимости типа HTTP/2 Slowloris, такие как CVE-2016-8740 и CVE-2016-1546. Однако недавняя реализация в HTTP/2 Bomb обеспечивает более мощный эффект усиления. Для серверов, ограничивающих количество заголовочных полей, эксплуатация может обойти эти проверки, используя заголовок Cookie, который может быть разделен, что позволяет достичь значительных коэффициентов усиления. Например, в Envoy существенный cookie может дать соотношение примерно 3800:1 между разрешенными логическими байтами cookie и байтами, отправленными по сети, а обработка в Apache httpd даже приводит к приближениям 4000:1.

Усилия по раскрытию информации об этой уязвимости были направлены в nginx и Apache, при этом nginx оперативно отреагировал на устранение проблемы. Последующий патч Apache изменил способ управления заголовками cookie в отношении ограничений, что привело к присвоению идентификатора CVE-2026-49975.

#ParsedReport #CompletenessLow
06-06-2026

The Blight Reaches Microsoft: 73 Repos Disabled in 105 Seconds

https://opensourcemalware.com/blog/miasma-reaches-azure

Report completeness: Low

Actors/Campaigns:
Teampcp
Mini_shai-hulud

Threats:
Miasma
Supply_chain_technique
Shai-hulud
Credential_harvesting_technique

Victims:
Microsoft, Azure functions, Durable task, Red hat

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.007, T1195.001, T1528, T1567.001

IOCs:
File: 1

Soft:
Azure Functions, Node.js, RabbitMQ, OpenAI, MSSQL

Algorithms:
zip

Languages:
powershell, python, java

Links:
https://github.com/Azure/functions-action

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
5 июня GitHub отключил 73 репозитория, связанных с Microsoft, из-за опасений, связанных с пакетом durabletask, который был связан с червем Miasma — сложным злоумышленником, эксплуатирующим украденные секреты GitHub Actions. Этот инцидент отразил уязвимости в критических компонентах экосистемы Microsoft Azure, вызвав тревогу за целостность Azure Functions и потенциальную возможность постоянной утечки учетных записей злоумышленником, способным манипулировать этими репозиториями. Червь Miasma использует методы сбора учетных записей и распространяется через вредоносные публичные репозитории, вызывая опасения по поводу безопасности Azure и GCP.
-----

5 июня GitHub в быстрой последовательности отключил 73 репозитория, связанных с Microsoft, сосредоточившись на критических компонентах экосистемы Microsoft Azure, включая всю организацию Azure Functions и связанные с ней библиотеки. В центре этого инцидента оказался пакет durabletask, который вновь появился как вектор компрометации, связанный с червем Miasma — эволюционировавшей угрозой, связанной с более ранними атаками TeamPCP.

Отключённые репозитории включали ключевые элементы среды выполнения и инструменты, такие как azure-functions-host и различные библиотеки языковых воркеров для Node.js, Python, Java и других сред. Предшествующие инциденты безопасности, связанные с пакетом durabletask из PyPI, выявили значительные уязвимости, поскольку вредоносные версии были загружены в течение короткого промежутка времени, что указывает на подход злоумышленника к эксплуатации украденных секретов GitHub Actions. Это свидетельствовало о потенциальной возможности постоянной утечки учётных данных, предполагая, что злоумышленник всё ещё может обладать способностью манипулировать этими репозиториями.

Объяснение Microsoft по поводу удаления было неясным: сначала они намекали на нарушение политик, связанных с ВПО, а затем указали на внутреннюю проблему управления, что вызвало сомнения в их подотчетности и надежности их защиты безопасности в таких ситуациях. Быстрое роспуск этих репозиториев подразумевал масштабное проникновение и вызывал опасения относительно целостности процесса развертывания Azure Function, особенно в части зависимости от GitHub Actions.

Связь с червем Miasma предоставляет дополнительный контекст этому инциденту. Miasma представляет собой эскалацию угроз, включающую техники сбора учетных записей, специально нацеленные на среды Azure и GCP. Червь распространяется путем создания вредоносных публичных репозиториев и внедрения украденных секретов, что согласуется с автоматическими действиями по принудительному выполнению правил GitHub против нарушений условий обслуживания. Последовательность событий, включая быстрое удаление репозиториев, сильно намекает на оппортунистическую эксплуатацию уязвимостей, недавно введенных в предыдущих атаках.

Для снижения рисков организациям, использующим Azure, следует обеспечить внедрение более строгих мер контроля над действиями в Azure, таких как привязка зависимостей к конкретным хешам коммитов (SHA) для предотвращения проблем, связанных с изменяемыми тегами. Командам безопасности рекомендуется активно ротировать конфиденциальные токены и учетные данные, включая токены Azure CLI и OIDC-токены GitHub Actions, а также проводить тщательные проверки на наличие несанкционированных публичных репозиториев. В частности, команды должны проявлять бдительность в отношении любых случаев фиксации секретов в непредназначенных для этого местах и изучать любые установочные хуки или скрипты, которые могут способствовать использованию ВПО, такого как Miasma. До тех пор, пока не будут устранены проблемы с функциями Azure functions-action и связанными репозиториями, в качестве меры предосторожности следует использовать альтернативные методы развертывания, такие как Azure CLI и Azure DevOps.

#ParsedReport #CompletenessMedium
08-06-2026

DECODING GRIXBA - A PLAY RANSOMWARE SCANNER

https://theravenfile.com/2026/06/08/decoding-grixba-a-play-ransomware-scanner/

Report completeness: Medium

Actors/Campaigns:
Andariel

Threats:
Playcrypt
Grixba
Costura_tool
Winrm_tool
Gotoresolve_tool
Zoho_assist_tool
Ninjaone_tool
Beyondtrust_tool
Splashtop_tool
Atera_tool
Action1_tool
Dameware_tool
Radmin_tool
Teamviewer_tool
Anydesk_tool
Confuserex_tool
Dotfuscator_tool

Victims:
Manufacturing, Business, Technology, United states, Canada, United kingdom

Geo:
Dprk, Korean, North korean, Canada

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1012, T1018, T1021.001, T1021.006, T1027, T1039, T1046, T1047, T1070.001, have more...

IOCs:
Hash: 8
File: 24
IP: 1

Soft:
ome, Firefox, Edg, ernet Explorer hist, Pulseway, Dropbox, NET Framework, rosoft Defender, Vee, T Framework 4.0, Chrome, Firefox

Algorithms:
zip, sha256, xor, base64

Functions:
GetConsoleCP

Win API:
LCIDToLocaleName, GetUserDefaultLocaleName, GetLocaleInfoEx, GetUserPreferredUILanguages, LocaleNameToLCID, RtlGetSystemTimeAndBias, GetDynamicTimeZoneInformation, GetTimeZoneInformation, SHGetFolderPath, SHGetFolderPathW, have more...

Languages:
python

Platforms:
x64, x86

#ParsedReport #ExtractedSchema

Classified images:
code: 7, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Инструмент Grixba, разработанный группой Play Ransomware Group, представляет собой кастомный стиллер, нацеленный на секторы в США, Канаде и Великобритании с 2022 года, эволюционировавший через несколько версий для повышения сложности и возможностей уклонения. Ключевые улучшения включают использование XOR-зашифрованного DLL для обновлений полезной нагрузки в версии 2 и усовершенствованную стратегию развертывания в версии 3, ориентированную на обнаружение высокоценного программного обеспечения при сохранении низкой заметности. Связи с северокорейской группой Jumpy Pisces указывают на возможный сдвиг в тактике операций, влияющий на будущие итерации Grixba.
-----

Grixba — это кастомный стиллер, разработанный группой Play Ransomware Group, активный как минимум с 2022 года.

Целями являются секторы в США, Канаде и Великобритании.

Grixba прошла через несколько версий, улучшая сложность и техники уклонения.

Версия 1.5 представила расширенное сетевое сканирование и более детальный сбор данных, включая учетные данные пользователей и историю браузера.

Версия 2 использовала DLL, зашифрованную с помощью XOR, для повышения уровня уклонения и анонимной эксфильтрации через узел выхода VPN Private Internet Access (PIA).

Версия 3 дополнительно усовершенствовала свою развертывание, разделив сканирующий полезный груз от загрузчика, уменьшив размер исполняемого файла и повысив скрытность.

Версия 3 также была сосредоточена на мониторинге программного обеспечения высокой ценности при сохранении основных возможностей перечисления.

Слабые стороны различных версий Grixba включают недостаточные меры противодействия песочнице и возможность декомпиляции управляемого кода .NET.

Grixba постоянно разворачивается в каталог C:\Users\Public\Music через Протокол удаленного рабочего стола (RDP), что предоставляет индикатор для мониторинга.

Поведение сканирования включает перечисление через WMI и WinRM, что формирует отличительные телеметрические данные для обнаружения управления.

Новые связи с северокорейским злоумышленником Jumpy Pisces указывают на потенциальные изменения в оперативной тактике для будущих итераций Grixba.

#ParsedReport #CompletenessLow
02-06-2026

Six Stages Deep and an Endless Loop: Shai-Hulud Is Getting Sophisticated

https://www.ox.security/blog/six-stages-deep-and-an-endless-loop-shai-hulud-is-getting-sophisticated/

Report completeness: Low

Actors/Campaigns:
Teampcp

Threats:
Shai-hulud
Miasma
Dead_drop_technique
Supply_chain_technique

Victims:
Red hat, Github repositories

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1027, T1102.002, T1105, T1195.001, T1567.001

IOCs:
File: 1

Soft:
LiteLLM

Links:
https://github.com/windy629?tab=repositories
https://github.com/search?q=%22Miasma+%3A+The+Spreading+Blight%22&type=repositories

#ParsedReport #ExtractedSchema

Classified images:
schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания, направленная против Red Hat, включает в себя сложное вредоносное ПО для npm, в частности стиллер Shai-Hulud, который выполняет многоэтапную атаку, включающую обширную обфускацию и динамическое обновление полезной нагрузки через GitHub, используя свою инфраструктуру как управление. Это вредоносное ПО постоянно адаптируется с каждой операцией, усложняя обнаружение благодаря использованию легитимных платформ для связи и выполнения. Улики указывают на то, что злоумышленники могут быть китайскоязычными и развивают свои техники, что указывает на персистентную и сложную атаку на Цепочку поставок.
-----

Текущая кампания, направленная против Red Hat с использованием вредоносного программного обеспечения в npm, продемонстрировала высокий уровень сложности, характеризующийся широким применением обфускации и шифрования, включающим шесть этапов выполнения. Обычно вредоносное программное обеспечение в npm работает с тремя этапами: декодирование обфусцированного кода, загрузка вредоносной нагрузки и ее выполнение на целевой машине. Однако данный образец представляет собой сложную систему, в которой вредоносный код выполняется в том, что напоминает бесконечный цикл.

В основе этого сложного выполнения лежит стиллер Shai-Hulud, который использует различные стадии дроппера для запуска своего полезного груза. Наличие нескольких версий строки, идентифицированной как "Miasma", предполагает, что определенные учетные записи могли быть скомпрометированы шестой операционной стадией вредоносного ПО или его вариантами, которые эксплуатируют конкретную логику, связанную с кодом "firedalazer", размещенным на GitHub. Такая реализация позволяет злоумышленникам динамически изменять вредоносное ПО, делая его как адаптивным, так и сложным, при этом используя инфраструктуру GitHub в качестве средства для управления (C2). Такое использование широко доверяемой платформы значительно затрудняет усилия по обнаружению на основе сети, поскольку типичные меры безопасности не помечают трафик GitHub как вредоносный.

GitHub выполняет двойную роль в этой кампании; вместо того чтобы быть лишь средством для выгрузки информации, злоумышленники используют его для проведения операций с ВПО. Они применяют помеченные коммиты со строкой "firedalazer" в качестве механизма доставки для живых обновлений, помечая каждый коммит как потенциальную новую полезную нагрузку. Архитектура обеспечивает непрерывность операций даже при блокировке учетных записей. Различия в том, как форматируются строки в скомпрометированных репозиториях GitHub, предоставляют дополнительные подсказки о версии используемого ВПО, что критически важно для выявления потенциальных заражений.

Более того, участие новой учётной записи GitHub, связанной с вредоносной деятельностью, указывает на то, что злоумышленник может упорно пытаться продвинуть свою кампанию, с возможностью того, что он уже заразил свою собственную учётную запись новым вариантом. Улики свидетельствуют о связи с потенциально говорящим на китайском языке актором, что подчеркивает сдвиг в ландшафте угроз, поскольку текущее выполнение ВПО отклоняется от предыдущих, менее сложных атак, приписываемых другим группам, таким как TeamPCP.

По мере продолжения расследования появляются доказательства того, что вредоносная кампания продолжается, с возможностью увеличения числа заражений — что является индикатором продолжающейся атаки на Цепочку поставок. В связи с этим инженерам по безопасности настоятельно рекомендуется использовать индикаторы компрометации (IoCs) и специфические строки для укрепления своей защиты от этой развивающейся угрозы. Эта ситуация подчеркивает необходимость точных возможностей обнаружения для снижения рисков, связанных с сложными операциями ВПО, эксплуатирующими доверенные платформы.

#ParsedReport #CompletenessLow
04-06-2026

Magecart skimmer turns Stripe into a malware command server

https://sansec.io/research/stripe-api-skimmer-infrastructure

Report completeness: Low

Actors/Campaigns:
Magecart

Victims:
Online retail stores, Magento stores, Adobe commerce stores

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1056.003, T1059.007, T1074.001, T1102.002, T1102.003, T1105, T1132.002, T1567

Soft:
Shopware

Algorithms:
xor

Functions:
Function, getMetaString, setTimeout

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложный Magecart-скиммер нацелен на Stripe, внедряясь в метаданные клиента для захвата и эксфильтрации данных карт в процессе оформления заказа. Скиммер работает с использованием легитимного контейнера Google Tag Manager, что позволяет ему избегать обнаружения правилами Content Security Policy. Он извлекает свой код из метаданных Stripe, захватывает конфиденциальную информацию, которая кодируется с помощью XOR и сохраняется в localStorage, а затем незаметно эксфилтрирует данные, отправляя их на аккаунт злоумышленника в Stripe с использованием скомпрометированного тестового ключа.
-----

Недавние данные показывают, что сложный Magecart-скиммер работает напрямую через Stripe, используя платформу для хранения и эксфильтрации украденных данных карт. В этой атаке скиммер встроен в метаданные клиента Stripe и выполняется на страницах оформления заказа. Этот инновационный метод позволяет вредоносному ПО использовать два широко доверяемых домена — Google Tag Manager (GTM) и Stripe — эффективно обходя правила Content Security Policy (CSP) и сетевые фильтры, которые обычно выявляют вредоносную активность.

Работа вредоносного ПО состоит из трех основных компонентов: доставка кода, сбор данных и эксфильтрация. Механизм доставки использует легитимный контейнер GTM для выполнения скиммера на любой странице оформления заказа, которая его включает. В процессе оформления заказа скиммер извлекает свой код из метаданных конкретного аккаунта клиента Stripe и выполняет его. Процесс сбора данных перехватывает кнопку оформления заказа для захвата информации о карте и реквизитах. После заполнения необходимых полей данные кодируются с помощью XOR и сохраняются в localStorage браузера.

Эксфильтрация выполняется отдельно от сбора данных, происходит вскоре после загрузки страницы, а затем — через регулярные интервалы. Загрузчик обращается к localStorage для извлечения сохранённой информации и отправляет её обратно на аккаунт Stripe злоумышленника, маскируясь под поддельного клиента. Такое разделение позволяет вести скрытую операцию, при которой процесс загрузки украденных данных не связан напрямую с активностью по скиммингу.

Заметной особенностью атаки является наличие секретного ключа Stripe в коде JavaScript на стороне клиента, что является ненормальным и указывает на компрометацию. Ключ, содержащий префикс sk_test_, свидетельствует о том, что злоумышленник использует тестовую среду Stripe в качестве бесплатной инфраструктуры для управления украденной информацией о картах и размещения скрипера, оставаясь при этом незамеченным благодаря доверенному характеру задействованных доменов.

#ParsedReport #CompletenessMedium
04-06-2026

Attack Campaign against Japanese Organizations Using PoisonX Drivers

https://www.lac.co.jp/lacwatch/report/20260604_004759.html

Report completeness: Medium

Actors/Campaigns:
Silver_fox

Threats:
Poisonx
Byovd_technique
Spear-phishing_technique
Pxdropper
Process_hacker_tool
Procmon_tool
Dll_sideloading_technique
Hvnc_tool

Victims:
Organizations in japan, Organizations in china

Geo:
Chinese, Japan, Japanese

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1007, T1010, T1014, T1027, T1027.007, T1033, T1041, T1049, T1055, have more...

IOCs:
File: 69
Command: 2
BrowserExtension: 13
Coin: 2
Hash: 50
IP: 12

Soft:
curl, VirtualBox, Hyper-V, process explorer, Windows Service, Microsoft Defender, Windows kernel, Windows Defender, Windows Security Center, Telegram, have more...

Wallets:
metamask, tronlink, coinbase, terra_station, safepal, yoroi, bitkeep_wallet, bitget_wallet, exodus_wallet, sollet, have more...

Crypto:
binance, kucoin, uniswap, pancakeswap

Algorithms:
base64, aes-256-cbc, zip, sha256, xor

Functions:
DriverEntry

Win API:
MOUSE_EVENT

Win Services:
WinDefend, wscsvc, msmpeng, securityhealthservice, mcshield, savservice, avastsvc, ekrn, mbamservice

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
code: 13, windows: 4, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4