#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Arctic Wolf сообщил о росте эксплуатации уязвимости обхода аутентификации CVE-2026-0257 в PAN-OS от Palo Alto Networks, позволяющей удаленным злоумышленникам подделывать cookies аутентификации для несанкционированного доступа к VPN. Этот всплеск последовал за публикацией кода эксплойта, при этом активность характеризовалась попытками входа с виртуальных частных серверов (VPS), приводящими к установлению IPSec-туннелей и внутренней разведке с использованием инструмента Impacket. Хотя многие попытки завершились неудачей, некоторые оказались успешными, позволив злоумышленникам выполнять SMB-разведку и обнаружение пользователей домена внутри затронутых сетей.
-----

Arctic Wolf сообщил о всплеске эксплуатации уязвимости обхода аутентификации CVE-2026-0257, затрагивающей PAN-OS GlobalProtect и Prisma Access от Palo Alto Networks. Этот рост был зафиксирован с конца мая по начало июня 2026 года и был вызван публикацией кода эксплойта и подробных описаний уязвимости. Успешная эксплуатация зависит от конкретных конфигураций: портал или шлюз GlobalProtect должны быть доступны извне, а файлы cookie обхода аутентификации должны повторно использоваться или быть раскрыты вместе с сертификатом, на который они опираются. Изначально вредоносная активность характеризовалась подозрительными попытками входа с виртуальных частных серверов, что приводило к созданию туннелей IPSec и последующим внутренним разведывательным действиям, указывающим на использование инструментов Impacket.

CVE-2026-0257 позволяет удалённым неаутентифицированным злоумышленникам подделывать cookies аутентификации, обеспечивая несанкционированный доступ к VPN при определённых условиях конфигурации. Её уровень серьёзности был пересмотрен с показателя CVSS 4.7 до 7.8 в связи с растущей осведомлённостью и публикацией методов эксплуатации. Эта уязвимость затронула различные сектора, включая финансы, здравоохранение и образование, преимущественно в организациях Европы и Северной Америки.

Выявленные шаблоны эксплуатации продемонстрировали значительные попытки входа в учетные записи администраторов GlobalProtect с использованием, в частности, аутентификации на основе cookie с инфраструктуры VPS. Хотя большинство вторжений сопровождалось повторяющимися отказами в аутентификации, некоторые из них привели к установлению авторизованных сессий, что повлекло за собой автоматизированную SMB-разведку и перечисление сетевых ресурсов. Такое поведение указывает на то, что злоумышленники использовали несанкционированный доступ по VPN для облегчения дальнейших действий во внутренней сети.

Наблюдаемая активность последовательно демонстрировала паттерны немедленных действий после аутентификации, включающих запросы сессий SMB и обнаружение доменных пользователей, при этом злоумышленники быстро переходили от успешного установления соединения по VPN к разведке. Несмотря на очевидные возможности, указываемые этими действиями, большинство эксплуатаций не выходило за рамки начальных вторжений.

Рекомендации по защите сосредоточены на мониторинге подозрительных событий аутентификации, особенно с IP-адресов узлов выхода VPS или Tor, аномальных шаблонов входа и признаков активности Impacket после сессий VPN. Организациям, использующим GlobalProtect, рекомендуется тщательно анализировать попытки входа и последующее поведение сессий для выявления и предотвращения потенциальной эксплуатации.

#ParsedReport #CompletenessLow
12-06-2026

UNC1151/Ghostwriter phishing campaign targeting Gmail accounts

https://cert.pl/en/posts/2026/06/UNC1151-gmail-campaign/

Report completeness: Low

Actors/Campaigns:
Ghostwriter

Threats:
Credential_harvesting_technique

Victims:
Gmail users, Polish citizens, Public administration, Law enforcement, Researchers, Journalists, Political and public life, Translators, Court experts, Polish organizations, have more...

Geo:
Polish

ChatGPT TTPs:
do not use without manual check
T1056.003, T1078, T1111, T1114.002, T1190, T1566.002, T1583.001, T1583.006, T1584, T1585.002, have more...

IOCs:
Email: 7
Domain: 6

Soft:
Gmail

Win API:
ellipse

Win Services:
CVD

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа UNC1151/Ghostwriter — это APT, специализирующаяся на фишинговых кампаниях для компрометации учетных данных Gmail аккаунтов польских граждан. Эти кампании включают в себя письма, имитирующие официальные коммуникации Gmail, созданные для создания срочности и захвата учетных данных пользователей вместе с кодами 2FA через поддельные страницы входа. Тактика группы эволюционировала, чтобы включать недавно зарегистрированные обманные домены и повторное нацеливание на аккаунты, что свидетельствует об эскалации их стратегии атак, при этом все еще частично преследуя предыдущие цели.
-----

Группа UNC1151/Ghostwriter — это сложная целенаправленная угроза (APT), которая активно проводит фишинговые кампании, направленные на компрометацию учетных записей Gmail польских граждан. Исторически их фокус был сосредоточен преимущественно на пользователях польских почтовых сервисов, но с марта 2026 года наблюдается заметный сдвиг в сторону нацеливания на пользователей Gmail, при этом атаки преимущественно происходят в будние дни. Эти кампании предназначены для сбора учетных данных для входа, включая коды двухфакторной аутентификации (2FA), что повышает их способность к полному доступу к учетным записям целей.

Фишинговые кампании обычно включают письма, имитирующие официальные сообщения администраторов Gmail, часто отправляемые с поддельных или скомпрометированных аккаунтов Gmail. Эти сообщения, написанные на польском языке и тщательно выверенные, чтобы избежать очевидных грамматических ошибок, создают ощущение срочности, предупреждая получателей о якобы подозрительной активности или нарушении условий использования. Эта тактика давления побуждает жертв проверять свои аккаунты через вредоносные ссылки, ведущие на поддельные страницы входа в Gmail. Атакующие используют функцию BCC, чтобы скрыть идентичность получателей, тем самым увеличивая охват кампании.

Поддельные страницы входа эволюционировали и теперь способны захватывать как учетные данные для входа, так и коды 2FA, что фундаментально повышает шансы злоумышленников на получение доступа. После ввода этой информации злоумышленники могут немедленно попытаться войти в учетные записи жертв. В сценариях, требующих дополнительной проверки, отображаются последующие запросы для захвата SMS-кодов и кодов, генерируемых приложениями для аутентификации. Группа часто нацеливается на одни и те же учетные записи повторно и использует быстрые последующие кампании для максимизации давления на жертв, увеличивая вероятность взаимодействия с их фишинговыми усилиями.

Инфраструктура, поддерживающая операции UNC1151, является как динамичной, так и обманчивой, включая недавно зарегистрированные фишинговые домены и поддомены, созданные на легитимных платформах. Эти домены адаптированы для того, чтобы сливаться с содержанием фишинговых сообщений и учетными записями эл. почты, используемыми для связи. В некоторых случаях они используют скомпрометированные веб-сайты польских организаций для размещения поддельных панелей входа, позволяя им действовать незамеченными, пока пользователи остаются в неведении о взломе.

Сдвиг UNC1151 в сторону атак на учетные записи Gmail представляет собой эскалацию их стратегии атак. Хотя предыдущие кампании против польских почтовых провайдеров, таких как Onet и Wirtualna Polska, пошли на спад, группа не полностью отказалась от этих усилий, продолжая адаптироваться и совершенствовать свои тактики для эксплуатации уязвимостей и доставки сложных фишинговых сообщений. Эта постоянная угроза подчеркивает необходимость бдительности среди потенциальных целей, учитывая настойчивый и развивающийся характер этих фишинговых кампаний.

#ParsedReport #CompletenessMedium
09-06-2026

Home-Field Disadvantage: AiTM, QR-Code Phishing, and Infostealers at the 2026 FIFA World Cup

https://arcticwolf.com/resources/blog/aitm-qr-code-phishing-and-infostealers-at-the-2026-fifa-world-cup/

Report completeness: Medium

Threats:
Qshing_technique
Aitm_technique
Supply_chain_technique
Putty_tool

Victims:
Football fans, Event organizers, Host city staff, Vendors, Tourism organization staff, Organizations using google workspace

Industry:
Government, Financial

Geo:
Canada, India, Brazil, Asian, Mexico

ChatGPT TTPs:
do not use without manual check
T1027, T1027.002, T1036, T1056.003, T1059.003, T1078, T1098, T1111, T1113, T1115, have more...

IOCs:
Domain: 5
File: 4
Url: 1

Soft:
WhatsApp, Telegram, Discord, Steam, WinSCP, KeePass, Android

Languages:
javascript

Platforms:
x64

Links:
have more...
https://github.com/rtkwlf/wolf-tools/tree/main/threat-intelligence/aitm-qr-code-phishing-infostealers-at-the-2026-fifa-world-cup

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
По мере приближения чемпионата мира по футболу 2026 года угрозы усиливаются: зарегистрировано более 10 000 доменов, связанных с чемпионатом мира, в основном для атак на мобильные устройства через социальные сети. В частности, применяются техники фишинга в режиме реального времени с использованием атаки «злоумышленник посередине» для обхода многофакторной аутентификации, а также целевые фишинговые кампании включают вредоносные PDF-файлы и мобильное ВПО, замаскированное под приложения для покупки билетов. Злоумышленники используют срочность и привязку к событию, чтобы эксплуатировать энтузиазм болельщиков, повышая эффективность своих злонамеренных действий.
-----

С января 2026 года зарегистрировано более 10 000 доменов, тематически связанных с Чемпионатом мира по футболу, многие из которых созданы с использованием генеративного искусственного интеллекта.

Мобильные устройства стали основной поверхностью атаки, при этом злоумышленники используют социальные сети для направления жертв на платформы обмена сообщениями, такие как WhatsApp, Телеграм или Discord.

Методы фишинга в режиме реального времени с атакующим посередине (AiTM) могут обходить многофакторную аутентификацию (MFA), перехватывая коды аутентификации во время входа в систему.

Злоумышленники используют фишинг-наборы, которые делают традиционные механизмы многофакторной аутентификации (MFA) неэффективными для организаций, связанных с Чемпионатом мира по футболу, затрагивая пользователей учетных записей Google Workspace.

Целенаправленные фишинговые кампании против организаторов мероприятий и персонала используют вредоносные PDF-файлы, которые применяют фишинг с помощью QR-кодов («quishing») для перенаправления пользователей на вредоносные ресурсы.

Мобильное ВПО маскировалось под легитимные приложения, связанные с покупкой билетов, при этом одно APK-приложение было выявлено для майнинга криптовалюты и эксфильтрации данных.

Тактика срочности используется в атаках, при этом мошеннические сообщения предлагают доступ к бесплатным трансляциям незадолго до матчей, чтобы эксплуатировать возбуждение болельщиков.

Инфостилеры, маскирующиеся под приложения для продажи билетов, похищают конфиденциальные данные в каналы, такие как Телеграм и Discord.

Объем угроз растет благодаря автоматизированным инструментам, что усложняет для организаций разработку целевых стратегий защиты.

Ожидается, что будущие угрозы усилятся в период проведения турнира, особенно в часы матчей, когда количество атак может возрасти.

Защитникам рекомендуется отслеживать появляющиеся домены и сохранять бдительность в отношении атак с таймерами, нацеленных на фанатов и персонал мероприятий.

#ParsedReport #CompletenessMedium
09-06-2026

Miasma worm targets Microsoft, compromises 73 GitHub repositories

https://www.threatlocker.com/blog/miasma-worm-targets-microsoft-compromises-73-github-repositories

Report completeness: Medium

Actors/Campaigns:
Teampcp

Threats:
Miasma
Supply_chain_technique
Shai-hulud
Hades

Victims:
Technology, Software development, Cloud services, Github repositories, Microsoft

Industry:
Healthcare, Education

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.007, T1071.001, T1105, T1195, T1204.002, T1518.001, T1543.002, T1564.001, T1567.001, have more...

IOCs:
File: 2
Domain: 2
Hash: 7
IP: 1
Url: 3

Soft:
Claude, Visual Studio Code, systemd, Kubernetes

Algorithms:
gzip, sha256, aes-256-gcm, base64, aes

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
5 июня 2026 года червь Miasma выполнил атаку на Цепочку поставок репозитория Azure/durabletask, развернув вредоносный коммит, который содержал зашифрованный JavaScript-файл, обеспечивающий немедленное выполнение полезной нагрузки. Червь определяет цели для эксфильтрации данных через уникальные маркеры, нацеливаясь на определенные компоненты StepSecurity's Harden-Runner для уклонения от обнаружения. Его полезная нагрузка разработана для отбора конфиденциальной информации с таких платформ, как GitHub и AWS, структурируя захваченные данные в узнаваемом формате, помеченном «Hades * The End for the Damned».
-----

5 июня 2026 года червь Miasma осуществил значительную Компрометацию цепочки поставок, атаковав репозиторий Microsoft-owned Azure/durabletask на GitHub. Эта атака использовала вредоносный коммит с заголовком "Switched DataConverter to OrchestrationContext skip ci", который изменил метаданные коммита, чтобы он выглядел так, будто был создан 9 марта 2020 года. Коммит содержал зашифрованный JavaScript-файл (setup.js) и дополнительные файлы настроек, содержащие хуки для AI-моделей Claude и Gemini. Техника атаки позволяла выполнять полезную нагрузку немедленно при открытии репозитория, отклоняясь от предыдущих тактик, которые требовали установки вредоносных пакетов, что приводило к немедленному риску для разработчиков.

Заметной особенностью этой кампании является её отточенный метод выявления целей для эксфильтрации. В отличие от предыдущих итераций, которые использовали узнаваемые фразы, этот вариант применяет уникальные маркеры для указания скомпрометированных репозиториев. Кроме того, кампания ищет конкретные компоненты StepSecurity's Harden-Runner, вероятно, чтобы избежать обнаружения средствами защиты в средах разработки. Такая целевая направленность указывает на намерение обойти механизмы логирования и оповещения, что повышает шансы червя на выполнение своей вредоносной задачи без обнаружения.

Вредоносный код червя Miasma предназначен для масштабной эксфильтрации данных, эффективно переманивая конфиденциальную информацию с платформ GitHub, AWS, Azure и Google Cloud. Эксфильтрация данных использует методологию, которая захватывает содержимое репозитория, структурированное в виде файла README.md, и приводит к формату, обозначенному специфическим маркером: «Hades * The End for the Damned». ВПО также создает папку результатов, содержащую JSON-файлы, инкапсулирующие извлеченные данные, что дополнительно подтверждает его злонамеренные намерения.

Стратегии смягчения последствий для организаций, затронутых червем Miasma, включают выявление и завершение любых активных процессов systemd, которые могли быть задействованы в ходе атаки. Необходим тщательный анализ системных журналов для обнаружения следов выполнения артефактов, таких как файлы, расположенные в /tmp/, а также для ротации учетные данные для критических компонентов инфраструктуры, включая учетные записи облачных сервисов и ключи SSH. Мониторинг необычного поведения в облачных ресурсах, а также перекрестная проверка сетевого трафика на конкретные домены и IP-адреса, связанные с инфраструктурой управления червя, является важным для усилий по сдерживанию.

#ParsedReport #CompletenessHigh
12-06-2026

Shai-Hulud Campaign Evolution: Miasma, Hades, and AI Scanner Evasion

https://www.zscaler.com/blogs/security-research/shai-hulud-campaign-evolution-miasma-hades-and-ai-scanner-evasion

Report completeness: High

Actors/Campaigns:
Teampcp

Threats:
Shai-hulud
Miasma
Hades
Supply_chain_technique
Aitm_technique
Dead_drop_technique

Victims:
Software, Cybersecurity, Artificial intelligence, Automation, Open source projects, Aqua security, Litellm, Tanstack, Mistral ai, Guardrails ai, have more...

Industry:
Financial

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1001.003, T1027, T1078, T1102.003, T1195.001, T1195.002, T1528, T1546, T1550.001, T1562.001, have more...

IOCs:
File: 8
Domain: 1
Url: 1
Hash: 3

Soft:
Anthropic, Trivy, LiteLLM, jupyter notebook, TanStack, Mistral, OpenSearch, Claude

Crypto:
monero

Algorithms:
sha256, pbkdf2, aes-256-gcm

Win API:
In

Languages:
python, javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 5, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Shai-Hulud, возглавляемая злоумышленником TeamPCP (UNC6780), эволюционировала от традиционных атак на Цепочку поставок к эксплуатации Индекса пакетов Python (PyPI) и рабочих процессов CI/CD. Ключевые показатели включают компрометацию через GitHub Actions, позволяющую устанавливать вредоносные двоичные файлы и извлекать токены OpenID Connect для публикации вредоносных пакетов, выглядящих доверенными. Такие техники, как инъекция промптов для обхода сканирования безопасности на базе ИИ и публичный выпуск исходного кода червя, свидетельствуют о критическом сдвиге в динамике угроз, усиливая риски в области безопасности цепочки поставок программного обеспечения.
-----

Кампания Shai-Hulud связана с злоумышленником TeamPCP (UNC6780).

Кампания эволюционировала от традиционных атак на цепочку поставок программного обеспечения к нацеливанию на Python Package Index (PyPI) и эксплуатации рабочих процессов CI/CD.

В марте 2026 года TeamPCP скомпрометировал сканер уязвимостей Trivy компании Aqua Security с помощью отравления кэша GitHub Actions.

Вредоносные бинарные файлы были установлены в рабочих процессах управления зависимостями, затронув библиотеку LiteLLM для Python.

ВПО использовало механизм закрепления с помощью файлов .pth, что позволяло выполнять код при запуске Python без действий пользователя.

В мае 2026 года TeamPCP использовал неправильную настройку pull_request_target для извлечения токенов OpenID Connect из памяти CI-агента.

Эти токены позволили опубликовать вредоносные пакеты с действительным происхождением, выявив уязвимости в процессах автоматической публикации.

В рамках кампании применялись техники инъекции промптов для обхода систем безопасности на базе искусственного интеллекта, что позволяло вредоносным пакетам избегать обнаружения.

Публичная публикация исходного кода червя 12 мая 2026 года сделала закрытые методы атак доступными для внешних акторов.

В июне 2026 года кампания эволюционировала, начав внедрять вредоносные рабочие процессы и файлы конфигурации в среды инструментов разработки, что привело к приостановке работы нескольких репозиториев Microsoft.

Кампания Shai-Hulud выявляет уязвимости в аутентификации сопровождающих, выполнении установки, надежности средств защиты и анализе кода с помощью ИИ.

#ParsedReport #CompletenessLow
11-06-2026

World Cup 2026 Mobile Targeted Phishing: The Global Social Engineering Threat

https://zimperium.com/blog/world-cup-2026-mobile-targeted-phishing-the-global-social-engineering-threat

Report completeness: Low

Actors/Campaigns:
Ghost_stadium
Retailphish
Offsidehire_phishing

Threats:
Typosquatting_technique
Aitm_technique
Mishing_technique
Credential_harvesting_technique

Victims:
Consumers, Sports retail, Corporate google workspace accounts, Job seekers

Industry:
Transport, Entertainment, Retail

Geo:
New york, Qatar, German, French, Spain, Croatia, Chinese, Colombia, Ecuador, Portugal, Germany, Spanish, France, England, Portuguese

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1056.003, T1078, T1111, T1557, T1566.002, T1566.003, T1583.001, T1583.006, T1656

IOCs:
Domain: 6
File: 3

Soft:
WhatsApp, Telegram, TikTok, Chrome

Languages:
javascript

Links:
https://github.com/Zimperium/IOC

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники запускают масштабные фишинговые кампании, связанные с Чемпионатом мира по футболу 2026 года, нацеленные на мобильных пользователей на фоне растущего спроса на билеты и мерчандайз. Используя такие техники, как Typosquatting и институциональный спуфинг, злоумышленники создают обманные сайты, имитирующие официальные платформы, такие как fifa-tickets.vip, для сбора конфиденциальной информации. Кампании включают мошенничество с продажей билетов, фишинг мерчандайза под меткой RetailPhish и мошенничество с наймом под названием OffsideHire, которые используют срочные сообщения для манипуляции жертвами с целью получения учетных данных или финансовых данных.
-----

Всплеск фишинговых кампаний, связанных с Чемпионатом мира по футболу 2026 года, создает значительные риски для мобильных пользователей, поскольку киберпреступники используют высокий спрос на билеты и мерчандайз. Масштаб мероприятия, включающего 48 команд и 104 матча, создает идеальную среду для атак социальной инженерии, направленных на различные аудитории, в частности на покупателей билетов и соискателей работы. Злоумышленники применяют такие техники, как Typosquatting и институциональный спуфинг, развертывая поддельные домены, такие как fifa-tickets.vip, чтобы ввести в заблуждение пользователей, отчаянно нуждающихся в билетах. Кроме того, сложные розничные кампании используют сайты, имитирующие легитимные бренды, такие как Nike и Adidas, часто скрывая свое происхождение за Cloudflare, чтобы избежать обнаружения.

Выделены три основные кампании: первая направлена на продажу билетов, вторая — на продажу мерча, а последняя — на мошенничество с вербовкой. Эти кампании используют срочные сообщения через SMS и социальные сети, чтобы вызвать эмоциональную панику у читателей, побуждая их переходить по вредоносным ссылкам. В рамках схемы с билетами злоумышленники создали обманные сайты, которые внешне почти не отличаются от официальных платформ, эффективно заставляя пользователей предоставлять конфиденциальные личные и финансовые данные. Использование продвинутых фишинговых наборов позволяет вести тщательное взаимодействие на протяжении всего процесса мошеннической покупки билетов, гарантируя, что жертвы проходят реалистичный путь покупки.

Кампания фишинга с использованием товаров, известная как RetailPhish, использует стремление фанатов приобрести атрибутику команды после того, как количество доступных билетов сокращается. Используя вредоносные домены, зарегистрированные через прокси-сервис конфиденциальности, злоумышленники скрывают свои личности, применяя шаблонные URL-адреса, ориентированные на несколько языков и регионов. Быстрая регистрация доменов позволяет эффективно масштабировать их операции.

Мошенничество с наймом, получившее название OffsideHire, особенно тревожно, поскольку оно сосредоточено на возможностях временной занятости, связанных с Чемпионатом мира по футболу. Это включает создание фишинговых сайтов, предназначенных для сбора учетных записей из корпоративных учетных записей Google Workspace под видом законных усилий по найму. Структура сайта подрывает безопасность организаций, облегчая форму атаки «Противник посередине» (AiTM), что позволяет осуществлять сбор учетных данных в реальном времени, что может привести к более глубоким нарушениям в корпоративных сетях.

Все эти кампании стратегически выполняются для работы за пределами обычных корпоративных мер безопасности, таких как межсетевые экраны, часто с использованием личных устройств, которые связываются с ресурсами компании. Их сложные конструкции подчеркивают необходимость надежных решений для обнаружения и предотвращения мобильных угроз, способных выявлять подозрительную активность в реальном времени, тем самым защищая конфиденциальные данные организации от компрометации.

#ParsedReport #CompletenessMedium
11-06-2026

Threat Actors Weaponize AI Hype to Deliver AsyncRAT

https://www.fortinet.com/blog/threat-research/threat-actors-weaponize-ai-hype-to-deliver-asyncrat

Report completeness: Medium

Threats:
Asyncrat
Process_hollowing_technique
Runpe_tool

Victims:
Users seeking ai related learning resources

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1012, T1027, T1033, T1036.004, T1036.005, T1036.008, T1041, T1053.005, T1055.012, T1059.001, have more...

IOCs:
File: 31
Domain: 3
IP: 1
Hash: 3

Soft:
PostgreSQL, Claude, AutoHotkey, NET Framework, Microsoft Defender, Task Scheduler

Algorithms:
zip, gzip, exhibit, aes-cbc, pbkdf2, md5, xor, base64

Functions:
Execute

Win API:
Run

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 1, code: 26, dump: 1, chats: 1