CTT Report Hub
3.39K subscribers
9.59K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
CTT Report Hub
#ParsedReport #CompletenessMedium 30-06-2026 ToddyCat: your hidden email assistant. Part 2 https://securelist.com/toddycat-apt-umbrij-tool-and-oauth/120251/ Report completeness: Medium Actors/Campaigns: Toddycat Threats: Umbrij_tool Dll_sideloading_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группировка ToddyCat APT атакует корпоративные учетные записи Gmail с помощью инструмента под названием Umbrij, который использует протокол OAuth 2.0 для удаленного доступа к API. Она применяет технику Shadow Token via Remote Debug (STRD) для компрометации браузеров на базе Chromium и использует подгрузку DLL для запуска вредоносных загрузок под видом легитимных процессов. После активации Umbrij манипулирует взаимодействиями с браузером и перехватывает коды авторизации OAuth, обеспечивая несанкционированный доступ к электронной почте пользователей и уклоняясь от обнаружения.
-----

Группировка ToddyCat APT применяет сложные техники, направленные на компрометацию корпоративных электронных почтовых коммуникаций, в частности, нацеливаясь на учетные записи Gmail через удаленный доступ к API. Их основной инструмент, названный Umbrij, работает путем эксплуатации протокола OAuth 2.0 для получения токенов доступа к электронной почте пользователей. Это достигается с помощью техники, обозначенной как Shadow Token via Remote Debug (STRD), которая использует возможности удаленной отладки браузеров на базе Chromium для перехвата и контроля сессий.

Umbrij подключается к скомпрометированным браузерам в безголовом режиме, используя порт удаленной отладки, и опирается на OAuth-код авторизации, полученный через серию HTTP-запросов. Получив сессию браузера, злоумышленники могут манипулировать им таким образом, чтобы беспрепятственно перемещаться по сервису Gmail, оставаясь незамеченными системами защиты конечных точек, поскольку большинство их действий может быть замаскировано под легитимные операции браузера.

Детальный анализ поведения Umbrij показывает, что он использует подгрузку DLL (DLL sideloading), связывая вредоносные компоненты с легитимными приложениями, такими как Bitdefender ConnectAgent и Google Desktop. В ходе расследования были обнаружены экземпляры Umbrij, запускаемые через запланированные задачи, имитирующие легитимные процессы для сокрытия своей вредоносной цели. Эта тактика позволяет группе выполнять свои компоненты без привлечения внимания, поскольку внедренные DLL часто запускаются в контексте доверенных приложений.

При запуске Umbrij оценивает операционную среду, проверяя активные TCP-соединения и дубликаты токенов процесса explorer.exe, что предоставляет ему необходимые права для продолжения атаки. Инструмент также формирует пути к критически важным пользовательским данным, таким как профили браузеров, и использует библиотеку Puppeteer Sharp для программного взаимодействия с браузером, что облегчает взаимодействие с механизмами аутентификации Google.

Процесс доступа включает серию манипуляций с JavaScript для имитации действий пользователя на страницах выбора аккаунта и подтверждения разрешений, что в конечном итоге приводит к несанкционированному получению кода авторизации OAuth, предоставляющего доступ к электронной почте и данным пользователя. Инструмент регистрирует свои операции, сохраняя захваченные коды авторизации в файл для последующей эксфильтрации.

Для смягчения этой угрозы организациям рекомендуется отслеживать события загрузки DLL, связанные с потенциальными векторами эксплуатации, такими как используемые Umbrij, и отзывать ненужный доступ сторонних приложений к Google Workspace. Непрерывный надзор за деятельностью браузера, особенно при включенном режиме разработчика, наряду с регулярными аудитами разрешений приложений, имеет решающее значение для защиты от таких продвинутых постоянных угроз.
#ParsedReport #CompletenessLow
30-06-2026

The Polymarket Trap: A Fake Arbitrage Bot, Ten npm Accounts, and Four Ways to Deliver an Infostealer

https://safedep.io/defi-infostealer-fake-arbitrage-bot-npm

Report completeness: Low

Threats:
Typosquatting_technique

Victims:
Defi developers, Polymarket protocol developers, Defi frontend developers, General defi math tooling users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1016, T1027, T1033, T1036.005, T1041, T1059.007, T1105, T1195.001, T1539, have more...

IOCs:
File: 12

Soft:
Docker, Chrome, Firefox, Bitwarden, KeePass, 1Password, macOS, Linux, OneNote

Wallets:
metamask, solflare, coinbase, tronlink

Algorithms:
base64

Functions:
readPackageJson, syncSession, divide, mod, require, from_str

Win API:
lockfile

Languages:
javascript, typescript, powershell

Links:
https://github.com/Trum3it/polymarket-arbitrage-bot/issues/2
CTT Report Hub
#ParsedReport #CompletenessLow 30-06-2026 The Polymarket Trap: A Fake Arbitrage Bot, Ten npm Accounts, and Four Ways to Deliver an Infostealer https://safedep.io/defi-infostealer-fake-arbitrage-bot-npm Report completeness: Low Threats: Typosquatting_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Координированная кампания нацелилась на разработчиков DeFi через обманные пакеты npm, используя тайпсквоттинг для эксплуатации неправильно набранных имен пакетов. Вредоносные пакеты включали стиллер, предназначенный для сбора конфиденциальных данных из криптовалютных кошельков и учетных данных браузера, применяя такие техники, как дроппер, который загружал URL C2, и механизм самовосстановления для уклонения от обнаружения. Эта атака конкретно стремилась к компрометации кошельков, таких как MetaMask и TrustWallet, раскрывая закрытые ключи и API-токены разработчиков.
-----

Недавний анализ выявил скоординированную вредоносную кампанию, направленную против разработчиков DeFi через обманные пакеты npm. В общей сложности десять аккаунтов сопровождающих npm опубликовали около тридцати пакетов, которые выдавали себя за легитимные инструменты Polymarket и общие библиотеки математических вычислений для DeFi. Атака использовала техники тайпсквоттинга для эксплуатации разработчиков, которые ошибочно вводили неверные названия пакетов, захватывая широкий круг потенциальных жертв.

Вредоносные репозитории содержали TypeScript-бота, обещающего прибыльные криптографические прогнозы, который требовал от пользователей ввода их POLYMARKET_PRIVATE_KEY в файл окружения. Этот ключ затем становился доступным до завершения команды npm install, позволяя стиллеру получить доступ к конфиденциальным данным.

Атака использовала четыре основные техники для доставки стиллера — состоящего из 2787–2887 строк кода JavaScript, предназначенного для сбора хранилищ криптовалютных кошельков, учетных данных браузера, секретов разработчика и другого. Конкретными целями были широко используемые кошельки, такие как MetaMask, TrustWallet и различные другие платформы, а также данные браузера из Chrome и Firefox. Стиллер был способен сканировать файловую систему на наличие конкретных источников учетных данных и выполнять регулярные выражения для идентификации и эксфильтрации закрытых ключей и API-токенов.

Один из заметных методов, известный как дроппер, использовал скрипт пост-установки, который динамически извлекал URL-адрес управления (управление) из информации о домашней странице пакета, тем самым эффективно маскируя его реальное намерение. Другие методы включали прямую вставку стиллера в код пакета или его включение в качестве транзитивной зависимости, которая выполнялась во время импорта, обходя типичные меры безопасности, игнорирующие скрипты.

Кампания также использовала механизм самовосстановления, при котором первоначальная чистая версия пакета после установки загружала скомпрометированную версию, делая традиционное сканирование неэффективным. Этот стратегический подход означал, что любой разработчик, который случайно установил эти пакеты, мог стать жертвой компрометации учетных данных.
#ParsedReport #CompletenessLow
30-06-2026

The Sea Lily APT group, believed to be based in Vietnam, appears to have shifted its focus to within Vietnam

https://www.secrss.com/articles/91634

Report completeness: Low

Actors/Campaigns:
Oceanlotus (motivation: cyber_espionage)
Fire_ant
Crucible
Black_bird

Threats:
Spectralviper
Supply_chain_technique
Watering_hole_technique
Dll_sideloading_technique
Soundbite
Phoreal
Cuegoe

Victims:
Infrastructure, Transportation, Finance, Securities, Government institutions, Enterprises, Dissidents, Human rights activists, Vietnam, China, have more...

Industry:
Government, Transport, Financial

Geo:
China, Vietnam, Asia, Vietnamese

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1055, T1071.001, T1071.004, T1082, T1090.001, T1095, T1105, T1189, have more...

IOCs:
File: 5
Email: 1

Soft:
icrosoft SQL Server to, Linux

Languages:
python
CTT Report Hub
#ParsedReport #CompletenessLow 30-06-2026 The Sea Lily APT group, believed to be based in Vietnam, appears to have shifted its focus to within Vietnam https://www.secrss.com/articles/91634 Report completeness: Low Actors/Campaigns: Oceanlotus (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группировка Sea Lily APT, также известная как OceanLotus или APT32, сместила фокус с иностранных целей на внутренние операции во Вьетнаме, согласовав свою деятельность с антикоррупционными инициативами правительства. Используя бэкдор SPECTRALVIPER, они проводили шпионаж, нацеленный на инфраструктуру и финансовый сектор, эксплуатируя уязвимости, такие как уязвимости в Microsoft SQL Server, для первоначального доступа и применяя подгрузку DLL для закрепления. Их недавняя атака на цепочку поставок FireAnt MetaKit использовала слабости механизма обновления для развертывания полезной нагрузки SPECTRALVIPER, что указывает на повышенную сложность их тактик и инструментов.
-----

Группировка Sea Lily APT, также известная как OceanLotus или APT32, сместила свой операционный фокус с атак на иностранные объекты на внутренние нападения во Вьетнаме, особенно с середины 2024 года. Этот переход согласуется с антикоррупционными инициативами и экономическими расследованиями вьетнамского правительства. Используя свой проприетарный бэкдор SPECTRALVIPER, группировка провела две ключевые операции шпионажа, нацеленные на инфраструктуру и финансовый сектор страны.

Первая операция началась в ноябре 2024 года против крупной компании в сфере инфраструктуры и транспорта и продолжалась в сети жертвы 15 месяцев до февраля 2026 года. Считается, что первоначальный доступ к этой сети был получен через уязвимость Удаленное Выполнение Кода в Microsoft SQL Server. Оказавшись внутри, злоумышленники развернули различные варианты бэкдора SPECTRALVIPER, адаптированные для разных пользовательских устройств, используя метод подгрузки DLL с легитимным инструментом Toolbox.exe для обеспечения скрытого закрепления. Они создали сеть доменов управления (управление), которые постоянно ротировались, чтобы избежать обнаружения.

Вторая атака была направлена на сервер обновлений FireAnt MetaKit, инструмента для финансовых технологий, широко используемого во Вьетнаме. Эта атака через цепочку поставок, продолжавшаяся с октября 2025 года по март 2026 года, эксплуатировала уязвимости в механизме обновлений, включая отсутствие проверки целостности файлов и отсутствие шифрования SSL/TLS. Атакующие проверяли каналы распространения с помощью тестовых загрузчиков на ранней стадии, прежде чем развернуть более сложную и обфусцированную версию, которая загружала бы полезную нагрузку SPECTRALVIPER, маскируясь под обновление. После запуска бэкдор собирал информацию о системе и использовал технику загрузки DLL для закрепления через легитимные системные процессы.

Стратегия группы Sea Lily стала более сфокусированной и точной, вероятно, в ответ на усиление антикоррупционных кампаний во Вьетнаме. Детали этого перехода подчеркиваются сопутствующими политическими событиями, такими как отставка двух президентов, связанных со скандалами о коррупции, и значительные дисциплинарные меры против высокопоставленных должностных лиц. Примечательно, что бэкдор SPECTRALVIPER демонстрирует улучшения, облегчающие перемещение внутри компании во внутренних сетях, а также техники для маскировки сетевого трафика, что указывает на эволюцию операционной безопасности и возможностей группы.

Анализ показывает, что группа Sea Lily имеет более чем десятилетний опыт создания ВПО и поддержания арсенала инструментов для различных платформ. К предыдущим инструментам относятся Denis, использующий DNS-туннели для связи C2, и PHOREAL, работающий через ICMP. Однако SPECTRALVIPER, по-видимому, представляет новый уровень сложности в их атаках, сочетая скрытые команды, динамическую загрузку полезной нагрузки и механизмы закрепления через зашифрованные каналы связи. Стратегия выборочного распространения группы в последних атаках указывает на четкое намерение проводить целенаправленные операции сбора разведданных в соответствии с приоритетами, ориентированными на государство, во Вьетнаме.
#ParsedReport #CompletenessLow
29-06-2026

Chromium extension uses AI‑related branding to redirect browser search

https://www.microsoft.com/en-us/security/blog/2026/06/29/chromium-extension-uses-airelated-branding-redirect-browser-search/

Report completeness: Low

Threats:
Typosquatting_technique

Victims:
Chromium browser users, Perplexity ai users

TTPs:
Tactics: 5
Technics: 0

IOCs:
BrowserExtension: 1
Domain: 1
Url: 6
File: 6

Soft:
Chromium, Microsoft Defender, Chrome, Node.js, nginx

Functions:
count
CTT Report Hub
#ParsedReport #CompletenessLow 29-06-2026 Chromium extension uses AI‑related branding to redirect browser search https://www.microsoft.com/en-us/security/blog/2026/06/29/chromium-extension-uses-airelated-branding-redirect-browser-search/ Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Служба Microsoft Threat Intelligence выявила вредоносное расширение для браузера на базе Chromium, использующее Маскировка под Perplexity AI, предназначенное для перехвата поискового трафика и сбора пользовательских данных для профилирования и таргетированной рекламы. Оно изменяет настройки поиска, чтобы перехватить поисковые запросы в браузере с помощью функции "chrome_settings_overrides", перенаправляя трафик через собственную инфраструктуру, которая использует сервер Node.js и сервер nginx с настройками SSL для безопасного сбора данных. Расширение также имитирует легитимные процессы настройки для завоевания доверия пользователей, что является распространенной тактикой в ВПО для рекламы и перехвата браузеров.
-----

Служба Microsoft Threat Intelligence выявила вредоносное расширение для браузера на базе Chromium, которое использует брендинг легитимного поискового движка с искусственным интеллектом Perplexity AI для обмана пользователей с целью убедить их в его установке. Основное назначение расширения заключается в перехвате поискового трафика и сборе пользовательских данных, которые впоследствии могут быть использованы в различных злонамеренных целях, таких как профилирование и таргетированная реклама. Расширение было сообщено в Google и впоследствии удалено.

Расширение пытается имитировать легитимный сервис Perplexity AI, используя похожее название и домен с опечаткой (typosquatted domain) perplexity-ai.online, который тесно напоминает официальный домен (perplexity.ai). Этот тактический прием широко распространен в схемах фишинг, где злоумышленники применяют схожие доменные имена, чтобы ввести пользователей в заблуждение относительно подлинности их услуг.

При установке расширение изменяет настройки поиска браузера с помощью функции «chrome_settings_overrides», тем самым заменяя поставщика поиска по умолчанию и перенаправляя все поисковые запросы через собственную инфраструктуру. Такое поведение характерно для атак с захватом браузера, которые перенаправляют пользовательские поисковые запросы на несанкционированные сайты, существенно ухудшая пользовательский опыт и конфиденциальность. Расширение перенаправляет пользователей на страницу онбординга, размещенную по адресу hxxps://extension.tilda.ws/perplexityai, которая предназначена для имитации легитимного процесса настройки — распространенная тактика, наблюдаемая в adware и ВПО для перенаправления поиска, направленная на формирование доверия пользователей и снижение внимания к изменениям в браузере.

Технический анализ расширения показывает, что оно использует прокси-сервисы, регистрируя все входящие запросы, включая метод HTTP и URL, в конечную точку, которая предполагает дальнейшие запросы к Google. Оно использует сервер Node.js (server.js), настроенный на разрешение кросс-доменных ответов, что позволяет ему собирать данные более свободно. Кроме того, он запускает сервер nginx, настроенный с SSL через Let's Encrypt, обеспечивая безопасные соединения для своего вредоносного трафика, одновременно фильтруя запросы преимущественно для инфраструктуры своего оператора.

Для снижения угрозы, создаваемой данным расширением, специалистам по безопасности рекомендуется использовать продвинутые запросы для поиска (hunting queries) с целью обнаружения присутствия вредоносного расширения по специфическим артефактам файлов, связанным с его установкой. Эта информация предоставляет возможность идентифицировать и удалить расширение с затронутых систем, укрепляя безопасность пользователей против подобных обманных тактик.
#ParsedReport #CompletenessHigh
30-06-2026

Silent Swap: A Crypto Clipper Extension Campaign

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/crypto-clipper-wallet-swapping-browser-extension-malware/

Report completeness: High

Threats:
Etherhiding_technique
Procmon_tool

Victims:
Consumer cryptocurrency users

Industry:
Critical_infrastructure, Financial

Geo:
India

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1059.003, T1070.004, T1083, T1102.001, T1105, T1115, T1140, T1176, T1564.003, have more...

IOCs:
Domain: 2
File: 5
Url: 2
Hash: 12
Coin: 2

Soft:
Chromium, Google Chrome, Microsoft Edge, Chrome, Opera

Crypto:
ethereum, bitcoin, ripple, solana

Algorithms:
sha256, hmac, zip

Win API:
writefile

Languages:
python, golang
CTT Report Hub
#ParsedReport #CompletenessHigh 30-06-2026 Silent Swap: A Crypto Clipper Extension Campaign https://www.mcafee.com/blogs/other-blogs/mcafee-labs/crypto-clipper-wallet-swapping-browser-extension-malware/ Report completeness: High Threats: Etherhiding_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новая кампания нацелена на пользователей криптовалют с использованием скрытой техники криптоклиппера, включающей неподписанные установщики, написанные на .NET или Golang, которые развертывают обманчивое расширение Chromium, маскирующееся под утилиту Google Notes. Это расширение отслеживает буфер обмена, чтобы перехватывать и заменять адреса кошельков криптовалют в реальном времени, используя социальную инженерию для обхода функций безопасности браузера, а также динамически разрешает свою инфраструктуру управления через публичные конечные точки RPC блокчейна для уклонения. Оно изменяет конфигурационные файлы браузера для закрепления и маскируется как безобидный инструмент, сохраняя низкий профиль и усложняя усилия по обнаружению.
-----

Новая кампания с использованием браузерных расширений нацелена на пользователей криптовалют, применяя метод тихого криптоклиппера.

В рамках кампании развертываются неподписанные установщики, написанные на .NET или Golang.

Обманчивое расширение Chromium замаскировано под утилиту Google Notes.

Расширение отслеживает активность буфера обмена для перехвата адресов криптовалютных кошельков.

Он подменяет адреса кошельков на контролируемые злоумышленниками альтернативные до завершения транзакций.

Метод установки изменяет защищённые файлы настроек браузеров на базе Chromium, таких как Chrome, Brave и Edge.

ВПО обходит процессы проверки, изменяя значения безопасности, чтобы выглядеть легитимно.

Операторы могут использовать социальную инженерию, чтобы убедить пользователей включить режим разработчика для функциональности расширений.

Инфраструктура связи не использует жёстко заданный сервер управления.

Вместо этого он обращается к публичному RPC-эндпоинту блокчейна для разрешения активного домена управления.

Эта обфускация позволяет динамически обновлять развертывание ВПО через параметры смарт-контракта.

Телеметрия указывает на глобальное распространение заражения, особенно в Индии, с целью атаки на пользователей криптовалют.

Расширение поддерживает безобидный интерфейс, чтобы не привлекать внимания, пока выполняет вредоносные функции.

Это обеспечивает закрепление путем модификации файлов конфигурации браузера для загрузки расширения при каждом запуске браузера.

ВПО использует механизм самоуничтожения для удаления установщика после выполнения.

Расширение маскируется под инструмент для заметок, чтобы избежать внимания, и запрашивает обширные разрешения.

Эта кампания отражает передовые методы, направленные на избегание обнаружения и обеспечение постоянного доступа к системам.
#ParsedReport #CompletenessLow
30-06-2026

Lazarus Targets the Financial Sector with Memory-Only Malware Toolset

https://www.cognyte.com/blog/lazarus-targets-the-financial-sector-with-memory-only-malware-toolset/

Report completeness: Low

Actors/Campaigns:
Lazarus (motivation: financially_motivated)

Threats:
Dpapiloader
Remotepeloader
Remotepe

Victims:
Financial institutions, Cryptocurrency organizations

Geo:
North korea

ChatGPT TTPs:
do not use without manual check
T1027, T1105, T1140, T1480.001
CTT Report Hub
#ParsedReport #CompletenessLow 30-06-2026 Lazarus Targets the Financial Sector with Memory-Only Malware Toolset https://www.cognyte.com/blog/lazarus-targets-the-financial-sector-with-memory-only-malware-toolset/ Report completeness: Low Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Lazarus, связанная с Северной Кореей, использует новую фреймворк-систему, работающую только в памяти, для атак на финансовые учреждения и организации, занимающиеся криптовалютами, с акцентом на методы скрытности. Вредоносное ПО состоит из DPAPILoader, RemotePELoader и RemotePE, при этом последний компонент функционирует как Троянская программа (RAT), работающая исключительно в памяти. Используя Windows DPAPI для Использования ключей на основе окружения, этот метод создает уникальные зашифрованные payloads для каждого жертвы, значительно усложняя традиционные усилия по обнаружению и криминалистический анализ.
-----

Недавно выявленная кампания со стороны Lazarus, подгруппы, связанной с Северной Кореей, нацелена на финансовые учреждения и организации криптовалюты с использованием инновационной фреймворк вредоносного ПО, работающего только в памяти. Этот сложный подход разработан для минимизации обнаружения и снижения видимости криминалистический анализ, что подчеркивает значительную тенденцию к использованию техник, ориентированных на скрытность, среди продвинутых злоумышленники.

Инструментарий Lazarus состоит из трех основных компонентов: DPAPILoader, RemotePELoader и RemotePE. Процесс заражения начинается с DPAPILoader, который использует API защиты данных Windows (DPAPI) для расшифровки и запуска последующих этапов. RemotePELoader извлекает финальный полезный груз из инфраструктуры, контролируемой злоумышленником. Этот финальный компонент ransomware работает исключительно в памяти, функционируя как троянская программа, предоставляющая обширный контроль над зараженными системами.

Критической особенностью данного ВПО является его зависимость от использования ключей на основе окружения через Windows DPAPI, что привязывает выполнение ВПО к конкретной среде жертвы. В результате каждая развертка создает уникальный зашифрованный полезный груз, что делает традиционные методы обнаружения на основе хешей устаревшими. После активации компонент RemotePE позволяет злоумышленникам выполнять команды, манипулировать файлами, управлять процессами и получать доступ к конфиденциальным данным, тем самым поддерживая долгосрочные цели, такие как кража денежных средств и эксфильтрация данных.

Эта кампания знаменует собой более широкий переход в ландшафте киберугроз, где продвинутые злоумышленники все больше отдают приоритет скрытности перед сложными техниками эксплуатации. Принятие вредоносного ПО, работающего только в памяти, использование ключей на основе окружения и стратегий обхода обнаружения на конечных точках свидетельствует о новой операционной парадигме, ориентированной на поддержание скрытого доступа и усложнение реагирования на инциденты. В результате криминалистический след, оставляемый на скомпрометированных системах, значительно сокращается, что делает традиционные методы обнаружения менее эффективными.
#ParsedReport #CompletenessMedium
30-06-2026

TONResolver RAT Abuses TON Blockchain to Target Japan's Hotel Industry

https://www.trendmicro.com/en_us/research/26/f/tonresolver.html

Report completeness: Medium

Threats:
Tonresolver
Dead_drop_technique

Victims:
Booking.com partner companies, Accommodation facilities, Hotel industry

Industry:
Entertainment, Financial, Healthcare

Geo:
Japan, Japanese

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.008, T1059.001, T1059.007, T1071.001, T1102.001, T1105, T1140, T1204.001, T1204.002, have more...

IOCs:
File: 7
Hash: 9
Domain: 124

Soft:
Gmail, Node.js, Telegram

Algorithms:
ecdh, zip, aes-256-cbc, base64, aes-cbc, crc-16, aes

Functions:
Get-Process, createCipheriv, createDecipheriv

Win API:
ShowWindow

Languages:
javascript, powershell