#ParsedReport #CompletenessLow
11-06-2026

World Cup 2026 Mobile Targeted Phishing: The Global Social Engineering Threat

https://zimperium.com/blog/world-cup-2026-mobile-targeted-phishing-the-global-social-engineering-threat

Report completeness: Low

Actors/Campaigns:
Ghost_stadium
Retailphish
Offsidehire_phishing

Threats:
Typosquatting_technique
Aitm_technique
Mishing_technique
Credential_harvesting_technique

Victims:
Consumers, Sports retail, Corporate google workspace accounts, Job seekers

Industry:
Transport, Entertainment, Retail

Geo:
New york, Qatar, German, French, Spain, Croatia, Chinese, Colombia, Ecuador, Portugal, Germany, Spanish, France, England, Portuguese

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1056.003, T1078, T1111, T1557, T1566.002, T1566.003, T1583.001, T1583.006, T1656

IOCs:
Domain: 6
File: 3

Soft:
WhatsApp, Telegram, TikTok, Chrome

Languages:
javascript

Links:
https://github.com/Zimperium/IOC

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники запускают масштабные фишинговые кампании, связанные с Чемпионатом мира по футболу 2026 года, нацеленные на мобильных пользователей на фоне растущего спроса на билеты и мерчандайз. Используя такие техники, как Typosquatting и институциональный спуфинг, злоумышленники создают обманные сайты, имитирующие официальные платформы, такие как fifa-tickets.vip, для сбора конфиденциальной информации. Кампании включают мошенничество с продажей билетов, фишинг мерчандайза под меткой RetailPhish и мошенничество с наймом под названием OffsideHire, которые используют срочные сообщения для манипуляции жертвами с целью получения учетных данных или финансовых данных.
-----

Всплеск фишинговых кампаний, связанных с Чемпионатом мира по футболу 2026 года, создает значительные риски для мобильных пользователей, поскольку киберпреступники используют высокий спрос на билеты и мерчандайз. Масштаб мероприятия, включающего 48 команд и 104 матча, создает идеальную среду для атак социальной инженерии, направленных на различные аудитории, в частности на покупателей билетов и соискателей работы. Злоумышленники применяют такие техники, как Typosquatting и институциональный спуфинг, развертывая поддельные домены, такие как fifa-tickets.vip, чтобы ввести в заблуждение пользователей, отчаянно нуждающихся в билетах. Кроме того, сложные розничные кампании используют сайты, имитирующие легитимные бренды, такие как Nike и Adidas, часто скрывая свое происхождение за Cloudflare, чтобы избежать обнаружения.

Выделены три основные кампании: первая направлена на продажу билетов, вторая — на продажу мерча, а последняя — на мошенничество с вербовкой. Эти кампании используют срочные сообщения через SMS и социальные сети, чтобы вызвать эмоциональную панику у читателей, побуждая их переходить по вредоносным ссылкам. В рамках схемы с билетами злоумышленники создали обманные сайты, которые внешне почти не отличаются от официальных платформ, эффективно заставляя пользователей предоставлять конфиденциальные личные и финансовые данные. Использование продвинутых фишинговых наборов позволяет вести тщательное взаимодействие на протяжении всего процесса мошеннической покупки билетов, гарантируя, что жертвы проходят реалистичный путь покупки.

Кампания фишинга с использованием товаров, известная как RetailPhish, использует стремление фанатов приобрести атрибутику команды после того, как количество доступных билетов сокращается. Используя вредоносные домены, зарегистрированные через прокси-сервис конфиденциальности, злоумышленники скрывают свои личности, применяя шаблонные URL-адреса, ориентированные на несколько языков и регионов. Быстрая регистрация доменов позволяет эффективно масштабировать их операции.

Мошенничество с наймом, получившее название OffsideHire, особенно тревожно, поскольку оно сосредоточено на возможностях временной занятости, связанных с Чемпионатом мира по футболу. Это включает создание фишинговых сайтов, предназначенных для сбора учетных записей из корпоративных учетных записей Google Workspace под видом законных усилий по найму. Структура сайта подрывает безопасность организаций, облегчая форму атаки «Противник посередине» (AiTM), что позволяет осуществлять сбор учетных данных в реальном времени, что может привести к более глубоким нарушениям в корпоративных сетях.

Все эти кампании стратегически выполняются для работы за пределами обычных корпоративных мер безопасности, таких как межсетевые экраны, часто с использованием личных устройств, которые связываются с ресурсами компании. Их сложные конструкции подчеркивают необходимость надежных решений для обнаружения и предотвращения мобильных угроз, способных выявлять подозрительную активность в реальном времени, тем самым защищая конфиденциальные данные организации от компрометации.

#ParsedReport #CompletenessMedium
11-06-2026

Threat Actors Weaponize AI Hype to Deliver AsyncRAT

https://www.fortinet.com/blog/threat-research/threat-actors-weaponize-ai-hype-to-deliver-asyncrat

Report completeness: Medium

Threats:
Asyncrat
Process_hollowing_technique
Runpe_tool

Victims:
Users seeking ai related learning resources

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1012, T1027, T1033, T1036.004, T1036.005, T1036.008, T1041, T1053.005, T1055.012, T1059.001, have more...

IOCs:
File: 31
Domain: 3
IP: 1
Hash: 3

Soft:
PostgreSQL, Claude, AutoHotkey, NET Framework, Microsoft Defender, Task Scheduler

Algorithms:
zip, gzip, exhibit, aes-cbc, pbkdf2, md5, xor, base64

Functions:
Execute

Win API:
Run

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 1, code: 26, dump: 1, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники используют популярность ИИ, распространяя ВПО, замаскированное под легитимные документы ИИ, и инициируя атаки через сжатые архивы, скрывающие вредоносные скрипты. Цепочка заражения использует скрипты PowerShell для декодирования полезной нагрузки и закрепления через Планировщик задач Windows. ВПО, известное как AsyncRAT, использует AutoHotkey для выполнения, применяет техники обфускации и включает продвинутые методы, такие как Внедрение в пустой процесс, для снижения обнаружения, а также поддерживает связь с серверами управления для эксфильтрации данных.
-----

Злоумышленники используют текущие тенденции в области искусственного интеллекта для распространения ВПО, замаскированного под легитимные документы, связанные с ИИ. Недавняя кампания, зафиксированная лабораторией FortiGuard Labs, включала файлы с названиями, относящимися к учебным ресурсам по ИИ, которые были созданы для того, чтобы заманить пользователей, ищущих такой контент. Начальный этап этой атаки включает сжатый архив, который кажется безобидным, но на самом деле скрывает вредоносные скрипты, предназначенные для выполнения сложной многоэтапной цепочки заражения, в конечном итоге доставляя AsyncRAT — троянскую программу удаленного доступа на базе .NET.

ВПО начинает свое выполнение с ZIP-архива, содержащего ярлык и скрытые файлы. Срабатывает скрипт PowerShell, использующий криптографические методы для декодирования полезной нагрузки, скрытой в исходных документах. Этот скрипт создает другие скрипты и обеспечивает закрепление через Планировщик задач Windows, маскируя свою активность под службу аудио Realtek. Скрипты применяют техники обфускации, включая использование переменных на упрощенном китайском языке и нестандартных идентификаторов, заимствованных из культурных отсылок, что усложняет анализ и обнаружение.

Особого внимания заслуживает использование скриптов AutoHotkey, которые служат движком выполнения для ВПО, позволяя загружать и выполнять дополнительные компоненты без опоры исключительно на скомпилированные бинарные файлы. Последние этапы атаки включают сложные техники, такие как Внедрение в пустой процесс и отражательная загрузка, для выполнения .NET-загрузчиков скрытным образом, одновременно минимизируя видимость для криминалистический анализ за счет очистки следов выполнения.

Основной полезный груз, идентифицированный как модульный RAT, устанавливает связь с серверами управления (управление) (C2), собирая и выгружая подробную информацию о системе об окружении жертвы. ВПО использует передовые методы связи, включая шифрование исходящих данных и пользовательскую сериализацию, обеспечивая постоянное взаимодействие с инфраструктурой C2.

#ParsedReport #CompletenessHigh
08-06-2026

Old WinRAR Flaw Fuels Attacks on Ukraine: How Unmanaged Software Keeps the Door Open

https://www.trendmicro.com/en_us/research/26/f/old-winrar-flaw-fuels-attacks-on-ukraine.html

Report completeness: High

Actors/Campaigns:
Gamaredon (motivation: cyber_espionage)
Uac-0226 (motivation: cyber_espionage)
Fancy_bear
Apt29
Sandworm
Turla
Void_rabisu

Threats:
Giftedcrook
Romcom_rat
Spear-phishing_technique
Antidebugging_technique
Gammasteel

Victims:
Ukrainian organizations, Military innovation centers, Military formations, Law enforcement agencies, Local self government bodies, Government entities, Military entities

Industry:
Government, Military

Geo:
Switzerland, Netherlands, Ukraine, France, Crimea, Germany, Ukrainian, Malaysian, Russia, Moscow

CVEs:
CVE-2025-8088 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.13)

CVE-2025-6218 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.12)

CVE-2018-20250 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (le5.61)


TTPs:
Tactics: 8
Technics: 17

IOCs:
File: 13
Hash: 37
Command: 5
Path: 3
IP: 14
Url: 5
Domain: 2
Email: 1

Soft:
Telegram, Chrome, Firefox, Opera, Google Chrome, Microsoft Edge, Mozilla Firefox, KeePass, PDQ Deploy

Algorithms:
prng, exhibit, fnv-1a, base64, sha256, rc4

Functions:
Get-Content, flexibility_denominator_wiretap, Sleep

Win API:
NtProtectVirtualMemory, NtAllocateVirtualMemory, NtCreateThreadEx, CryptUnprotectData, CreateProcessW, DeleteFileW, CryptImportKey, VirtualAlloc

Languages:
powershell

Platforms:
x64

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 1, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Уязвимость WinRAR CVE-2025-8088 продолжает эксплуатироваться злоумышленниками, связанными с Россией, такими как SHADOW-EARTH-066 и Earth Dahu, против украинских целей. SHADOW-EARTH-066 сменил тактику, эксплуатируя эту уязвимость с помощью стиллера GIFTEDCROOK, который поддерживает загрузку в памяти и зашифрованный C2, тогда как Earth Dahu использует цепочку атак на основе HTA для развертывания инструментов шпионажа. Обе кампании подчеркивают риски, связанные с неуправляемым программным обеспечением, и постоянную угрозу киберэксплуатации, несмотря на наличие существующих исправлений.
-----

Продолжающаяся эксплуатация уязвимости WinRAR CVE-2025-8088, исправленной в июле 2025 года, по-прежнему представляет значительную киберугрозу для украинских организаций. Уязвимость, являющаяся ошибкой обхода ограничений пути (CVSS 8.4), позволяет злоумышленникам записывать файлы за пределами каталога извлечения с использованием альтернативных потоков данных NTFS. Эта уязвимость используется различными группами, лояльными России, включая SHADOW-EARTH-066 и Earth Dahu (Gamaredon), против украинских военных и государственных структур.

SHADOW-EARTH-066, обозначенный CERT-UA как UAC-0226, перешел от более ранней тактики использования макросов Excel для первоначального доступа к эксплуатации уязвимости CVE-2025-8088. Он развертывает стиллер GIFTEDCROOK, способный собирать пароли браузеров, сеансовые куки и определенные расширения файлов перед самоуничтожением. Эволюционировавшая версия этого стиллера, известная как result.dll, демонстрирует значительные улучшения, такие как загрузка DLL в памяти и зашифрованная инфраструктура управления. ВПО, скомпилированное на C++, использует двухслойное шифрование RC4 для эксфильтрации украденных данных, что указывает на преднамеренную попытку избежать обнаружения и анализа.

В отличие от этого, Earth Dahu использует ту же уязвимость, применяя цепочку атак на основе HTA. Группа размещает вредоносные HTA-файлы или обфусцированные VBS-скрипты в папке автозагрузки, выполняя их при входе пользователя для доставки инструментов шпионажа. Этот метод демонстрирует характерный сдвиг в тактике, отражающий необходимость обеспечения оперативной безопасности по мере снижения эффективности других методов.

Обе кампании демонстрируют, как неуправляемое программное обеспечение, такое как WinRAR, может создавать уязвимости, сохраняющиеся даже после выпуска исправлений. Отсутствие централизованных механизмов обновления для таких приложений оставляет организации уязвимыми, позволяя злоумышленникам поддерживать доступ через надежную точку входа. Академический анализ указывает на историю уязвимостей в аналогичных широко используемых утилитарных приложениях, подчеркивая необходимость надежного управления программным обеспечением и соблюдения правил безопасности.

Стратегии эксплуатации, применяемые как SHADOW-EARTH-066, так и Earth Dahu, подчеркивают существенные различия в разработке и методологии: одна из них отдает предпочтение скомпилированной цепочке ВПО на C++, тогда как другая полагается на механизмы скриптования. Однако обе группы используют одну и ту же уязвимость в WinRAR, что представляет собой значительный риск для инициатив по безопасности Украины и может повлиять на страны-союзники через скомпрометированные учетные данные и данные.

Организациям рекомендуется приоритизировать установку исправлений для WinRAR, проводить тщательные поиски индикаторов компрометации и обеспечивать строгие практики управления учетными данными для снижения текущих рисков, создаваемых этими злоумышленниками.

#ParsedReport #CompletenessMedium
12-06-2026

Active Exploitation of Oracle PeopleSoft Zero-Day (CVE-2026-35273)

https://www.rapid7.com/blog/post/etr-active-exploitation-of-oracle-peoplesoft-zero-day-cve-2026-35273

Report completeness: Medium

Actors/Campaigns:
Unc6240 (motivation: information_theft, cyber_criminal)
Shinyhunters (motivation: information_theft, cyber_criminal)

Threats:
Meshcentral_tool
Meshagent_tool

Victims:
Higher education, Universities and colleges

Industry:
Education, Telco

CVEs:
CVE-2017-3548 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- oracle peoplesoft_enterprise_peopletools (8.54, 8.55)

CVE-2013-3821 [Vulners]
CVSS V3.1: 6.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- oracle peoplesoft_products (8.51, 8.52, 8.53)

CVE-2026-35273 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1036.005, T1071.001, T1187, T1190, T1219, T1560.001

IOCs:
Url: 1
IP: 6
Domain: 1
Hash: 5
File: 1

Soft:
Linux

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2026-35273 — критическая уязвимость SSRF в Oracle PeopleSoft Enterprise PeopleTools, позволяющая Удаленное Выполнение Кода без аутентификации, затрагивающая версии 8.61 и 8.62. Финансово мотивированная хакерская группировка UNC6240 (ShinyHunters) активно эксплуатировала эту нулевую уязвимость с 27 мая по 9 июня 2026 года, нацеливаясь на конечные точки, такие как /PSEMHUB/hub, и похищая данные, опубликованные на их сайте утечек. Цепочка эксплуатации включала развертывание агентов MeshCentral для поддержания доступа и выполнения латерального перемещения, при этом исходящие подключения SMB потенциально могли раскрывать хеши NetNTLM на TCP-порту 445.
-----

CVE-2026-35273 — критическая уязвимость, выявленная в компоненте Updates Environment Management корпоративной системы Oracle PeopleSoft PeopleTools, о которой Oracle публично объявила 10 июня 2026 года. Уязвимости присвоен балл CVSSv3.1 равный 9.8, и она представляет особую опасность, так как может быть эксплуатирована удаленно без аутентификации, что позволяет выполнить Удаленное Выполнение Кода (RCE). Уязвимость классифицируется как подделка запросов на стороне сервера (SSRF) и затрагивает версии PeopleTools 8.61 и 8.62. После выявления этой уязвимости Oracle выпустила внеплановый патч в тот же день.

До публикации рекомендации Oracle активная эксплуатация этой уязвимости нулевого дня была зафиксирована Mandiant, которая отслеживала инциденты с 27 мая по 9 июня 2026 года. Эта эксплуатация была приписана хакерской группировке, мотивированной финансовой выгодой и известной как UNC6240 или ShinyHunters, которая имеет историю краж данных и взломов, нацеленных на различные сектора, особенно высшее образование, где 68 процентов скомпрометированных организаций были университетами и колледжами. Эксплуатация в основном была сосредоточена вокруг конечных точек Environment Management Hub (PSEMHUB), а данные, украденные в ходе этой кампании, были опубликованы на ShinyHunters Data Leak Site вскоре после периода эксплуатации.

Технический анализ выявил две основные конечные точки, задействованные в эксплуатации, а именно /PSEMHUB/hub и /PSIGW/HttpListeningConnector. Цепочка эксплуатации потенциально могла приводить к исходящим SMB-соединениям на TCP-порту 445, предоставляя злоумышленникам возможность перехватывать хеши NetNTLM учетных записей машин Windows. Действия после начальной компрометации обычно включали развертывание агентов удаленного управления MeshCentral, замаскированных под сервисы Microsoft Azure, что позволяло злоумышленникам сохранять контроль и выполнять такие действия, как внутренняя разведка, латеральное перемещение и эксфильтрация данных с использованием методов сжатия zstd.

Для организаций, использующих инструменты оценки уязвимостей, такие как Rapid7, аутентифицированные проверки уязвимостей, связанные с CVE-2026-35273, стали доступны вскоре после раскрытия информации об уязвимости. Кроме того, команды безопасности могут использовать ресурсы из Intelligence Hub от Rapid7, чтобы оставаться в курсе последних событий, связанных с этой уязвимостью, включая соответствующие индикаторы компрометации. Сетевые индикаторы, связанные с кампанией, включали несколько IP-адресов, а также домен управления, azurenetfiles.net, который маскировался под легитимный сервис Microsoft Azure.

#ParsedReport #CompletenessLow
12-06-2026

astro.config.mjs Supply Chain Attack via Blockchain C2

https://safedep.io/astro-config-blockchain-c2-supply-chain/

Report completeness: Low

Threats:
Supply_chain_technique
Dead_drop_technique

Victims:
Open source software projects, Software development

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1008, T1027, T1041, T1059.007, T1071.001, T1102.001, T1105, T1140, T1195.002

IOCs:
File: 8
IP: 4

Soft:
Node.js, Chrome, trongrid

Wallets:
tron, mainnet

Crypto:
aptos, binance

Algorithms:
xor

Functions:
createRequire, eval, getJson

Languages:
javascript

Platforms:
x64

Links:
https://github.com/Egonex-AI/Understand-Anything/pull/206
https://github.com/Egonex-AI/Understand-Anything/issues/432
have more...
https://github.com/AsimRaza10/Understand-Anything/blob/8d30be36d2a0e22b848322902fce4085f5b0c0e6/homepage/astro.config.mjs

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака через цепочку поставок, направленная на репозиторий Egonex-AI/Understand-Anything, использовала вредоносный pull request для внедрения полезной нагрузки в файл `astro.config.mjs`, который выполняется автоматически во время разработки. Атака включает процедуру связи с жестко закодированными серверами управления, продвинутые техники обфускации для манипуляции функцией `require` и использует блокчейн для ретрансляции команд второго этапа, усложняя усилия по обнаружению и смягчению последствий. Этот инцидент демонстрирует растущую сложность тактик киберугроз, объединяющих социальную инженерию, обфускацию кода и технологию блокчейн.
-----

Недавняя атака на Цепочку поставок с использованием вредоносного pull request (PR) выявила значительные уязвимости в жизненном цикле разработки программного обеспечения, особенно в проектах с открытым исходным кодом. В данном случае атака была направлена против репозитория Egonex-AI/Understand-Anything, где полезная нагрузка была хитро встроена в файл `astro.config.mjs`. Этот файл является ключевым в фреймворке Astro, так как он выполняется как модуль Node.js для каждой операции сборки и разработки, автоматически выполняя полезную нагрузку без взаимодействия с пользователем.

Вредоносный PR, замаскированный под безобидное название и описание, содержал сфабрикованные технические изменения, скрывающие истинную природу модификаций. Полезная нагрузка запускает процедуру связи с одним из трех жестко заданных серверов управления (C2). После установления первоначального соединения она использует маркер кампании для эксфильтрации и применяет продвинутые техники для загрузки бот-клиента. Примечательно, что она использует ретранслятор команд второго этапа через публичную блокчейн-инфраструктуру, что затрудняет ограничение атаки путем простой блокировки IP-адресов, используемых серверами управления.

Специфический механизм атаки включал обфускацию потока команд, что позволяло эффективно восстанавливать функцию `require` в контексте ES-модуля без привлечения немедленного внимания при проверке кода. Это было достигнуто путем добавления в код невидимых операторов импорта. Этап B атаки дополнительно включал тщательно скоординированное взаимодействие с блокчейн-системами для получения данных транзакций, которые затем декодировались и выполняли последующие вредоносные команды.

Переход к технологии блокчейн в качестве средства ретрансляции команд имеет особое значение. Это позволяет злоумышленнику изменять полезную нагрузку путем простых обновлений данных транзакции в блокчейне, тем самым избегая традиционных методов обнаружения, ориентированных на блокировку IP-адресов или доменов. Злоумышленник может изменять команду без изменения публичного репозитория, эксплуатируя зависимость от публичных API, что усложняет попытки смягчения последствий из-за их законного использования в легитимных приложениях.

Этот инцидент выявляет тревожную тенденцию в тактике киберугроз, сочетающую социальную инженерию, обфускацию кода и технологию блокчейн для создания сложных векторов атак. Многоуровневый подход этой атаки не только позволяет обойти традиционные меры безопасности, но и подчеркивает необходимость бдительных процессов рецензирования кода и повышенного внимания к рискам в Цепочке поставок в современных практиках разработки программного обеспечения.

#ParsedReport #CompletenessHigh
12-06-2026

OceanLotus: From external espionage to domestic targeting

https://www.welivesecurity.com/en/eset-research/oceanlotus-external-espionage-domestic-targeting/

Report completeness: High

Actors/Campaigns:
Oceanlotus (motivation: cyber_espionage)

Threats:
Spectralviper
Supply_chain_technique
Dns_tunneling_technique
Soundbite
Phoreal
Cuegoe
Watering_hole_technique
Process_injection_technique

Victims:
Stock investors, Financial services, Infrastructure and transport construction, Businesses, Human rights activists, Human rights defenders, Government

Industry:
Financial, Government

Geo:
Vietnam, Singapore, Asia, Germany, Vietnamese, China

TTPs:
Tactics: 8
Technics: 16

IOCs:
Url: 2
Domain: 6
File: 11
IP: 8
Hash: 20

Soft:
Linux, Microsoft SQL server, Microsoft SQL, curl

Languages:
python

Links:
https://github.com/eset/malware-ioc/tree/master/oceanlotus

#ParsedReport #ExtractedSchema

Classified images:
code: 2, windows: 2, schema: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4