#ParsedReport #ExtractedSchema

Classified images:
table: 1, code: 1, windows: 1, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Meduza Stealer - это вредоносная программа, предназначенная для атак на пользователей Windows и организации с целью кражи конфиденциальных данных. Он активно развивается, его трудно обнаружить, и он использует сложные методы, чтобы войти в доверие и ускользнуть от обнаружения.-----

Meduza Stealer - это вредоносное ПО, предназначенное для атак на пользователей Windows и организации с целью кражи конфиденциальных данных, таких как учетные данные для входа в систему, история просмотров, закладки и расширения криптокошелька. Это активно разрабатываемый инструмент с изощренными маркетинговыми стратегиями, призванными завоевать доверие и ускользнуть от обнаружения. Администратор агрессивно рекламирует Meduza Stealer на киберпреступных форумах и каналах Telegram, а антивирусному ПО трудно его обнаружить.

Как только Meduza Stealer проникает на компьютер, он выполняет проверку геолокации и приступает к сбору обширной информации, включая системную информацию, данные браузера, данные менеджера паролей, информацию реестра, связанную с майнингом, и сведения об установленных играх. Данные упаковываются и загружаются на сервер злоумышленника, включая личные и финансовые данные.

Meduza Stealer использует интерфейсы прикладного программирования (API) и реализует функцию исключения стран. Он использует API GetUserGeoID и GetGeoInfoA на машине жертвы для получения данных о стране и сравнения их с заранее определенным списком. Если страна жертвы не входит в этот список, вредоносная программа пытается установить соединение с сервером злоумышленника. Она также делает скриншот текущего экрана Windows и конвертирует его в формат base64.

Угонщик специально фокусируется на извлечении данных из расширений, связанных с 2FA и менеджерами паролей, а также расширений криптовалютных кошельков из веб-браузеров через программные плагины или дополнения. Он также сканирует приложение Telegram Desktop, проверяя реестр на наличие идентификационных данных.

#ParsedReport #CompletenessMedium
30-06-2023

Malvertising Used as Entry Vector for BlackCat, Actors Also Leverage SpyBoy Terminator

https://www.trendmicro.com/en_us/research/23/f/malvertising-used-as-entry-vector-for-blackcat-actors-also-lever.html

Report completeness: Medium

Actors/Campaigns:
Blackcat

Threats:
Blackcat
Terminator_tool
Anydesk_tool
4shared
Cobalt_strike
Beacon
Adfind_tool
Powerview
Powersploit
Lazagne_tool
Bitsadmin
Jadtre
Putty_tool
Clop
Creal_stealer

ChatGPT TTPs:
do not use without manual check
T1036.003, T1082.003, T1112, T1566.001, T1518.001, T1117, T1056.004, T1083.003, T1059.003, T1016, have more...

IOCs:
Domain: 8
Url: 36
File: 11
Path: 5
IP: 16
Command: 2
Hash: 105

Soft:
winscp, wordpress, active directory, sysinternals, psexec, curl, windows defender

Algorithms:
zip, sha256

Languages:
python

Links:
https://github.com/AlessandroZ/LaZagne

#ParsedReport #ExtractedSchema

Classified images:
windows: 14, schema: 3, code: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Вредоносные субъекты используют malvertising для распространения вредоносного ПО через клонированные веб-страницы легитимных организаций, пытаясь получить привилегии администратора высшего уровня и установить персистентный и бэкдорный доступ с помощью различных инструментов и техник.
-----

Злоумышленники используют технику под названием malvertising для распространения вредоносного ПО через клонированные веб-страницы легитимных организаций. Киберпреступники получают доступ к привилегиям администратора высшего уровня и пытаются установить постоянство и бэкдор-доступ.

В одном случае заражение началось, когда пользователь искал WinSCP Download на Bing и нажал на вредоносную рекламу, отображавшуюся над результатами органического поиска. Пользователь был перенаправлен на клонированную веб-страницу загрузки WinSCP, которая загрузила ISO-файл с зараженной веб-страницы WordPress. Также был загружен исполняемый файл, переименованный в msiexec.exe, а также DLL с отложенной загрузкой, которая действовала как дроппер. Эта DLL содержала настоящий установщик WinSCP и вредоносную среду выполнения Python. Были созданы две установки Python3.10 - легитимная и содержащая троянизированный python310.dll.

Затем угрожающий агент загрузил модифицированный/троянизированный обфусцированный файл python310.dll, содержащий маяк Cobalt Strike, подключающийся к серверу C&C. Они также использовали AdFind, PowerView, WMI, LaZagne, PsExec, BitsAdmin и curl, сбросили сценарий KillAV BAT для подделки защиты Trend и установили инструмент удаленного управления AnyDesk в среду для поддержания постоянства.

Дальнейшее расследование показало, что эта деятельность привела к заражению BlackCat (он же ALPHV). Угрожающий агент также использовал SpyBoy terminator, антивирусное средство или средство обнаружения и реагирования на конечные точки (EDR), чтобы подделать защиту, предоставляемую агентами. Данные были удалены с помощью клиента PuTTY Secure Copy (PSCP). Тот же C&C-домен, который использовал агент угрозы, был связан с возможно связанным с ним файлом Cl0p ransomware.

#ParsedReport #CompletenessLow
30-06-2023

Distributing malicious batch files (*.bat) disguised as document viewers (Kimsuky)

https://asec.ahnlab.com/ko/54952

Report completeness: Low

Actors/Campaigns:
Kimsuky

Threats:
Trojan/vbs.agent.sc190255
Trojan/vbs.agent.sc190256

Geo:
Indo-pacific, Korean

IOCs:
File: 26
Url: 20
Path: 7
Registry: 1
Command: 1
Hash: 4

Soft:
onenote, outlook, chrome, task scheduler

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: ASEC подтвердила распространение вредоносных кодов группой Kimsuky, которые могут загружать скрипты для выполнения вредоносных команд, когда пользователи нажимают на определенные файлы. Пользователи должны принять меры предосторожности для защиты своих устройств, убедившись, что их антивирусное программное обеспечение обновлено, и избегая нажатия на незнакомые ссылки или вложения в электронных письмах.
-----

Центр реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) подтвердил распространение вредоносного кода в виде пакетных файлов (*.bat). Анализ вредоносного кода показал, что он был распространен группой Kimsuky, причем имя файла замаскировано под просмотрщик программ для работы с документами, такими как Word и Hangul. Вредоносный код загружает различные скрипты в зависимости от антивирусного процесса, установленного на устройстве пользователя, что позволяет злоумышленнику задавать вредоносные команды, которые будут отправляться, когда пользователь нажимает на файл ярлыка для запуска Outlook и браузера. Предполагается, что вредоносный код распространялся через электронные письма.

Кроме того, злоумышленник заменяет шаблон документа по умолчанию Normal.dotm и модифицирует файлы ярлыков браузеров и электронной почты. Это означает, что когда пользователи запускают документы Word, программы интернет-браузера, такие как Chrome, и файлы ярлыков (*.lnk) программ Outlook, они могут получить вредоносные сценарии. По мере того как вредоносный код загружает и выполняет различные скрипты, могут выполняться дополнительные неподтвержденные вредоносные действия в зависимости от команд, присутствующих в скрипте.

В этой ситуации пользователям необходимо быть особенно осторожными и принимать меры предосторожности для защиты своих устройств от вредоносных действий. Они должны убедиться, что их антивирусное программное обеспечение обновлено, и проверять любые подозрительные файлы или электронные письма перед их загрузкой или выполнением. Кроме того, им следует избегать нажатия на незнакомые ссылки или вложения в электронных письмах и убедиться, что их антивирусное программное обеспечение может обнаружить подозрительное поведение на их устройстве.

#ParsedReport #CompletenessLow
30-06-2023

Proxyjacking: The Latest Cybercriminal Side Hustle

https://www.akamai.com/blog/security-research/proxyjacking-new-campaign-cybercriminal-side-hustle

Report completeness: Low

Actors/Campaigns:
Anonymous_sudans (motivation: cyber_criminal)

Threats:
Proxyjacking_technique
Meris_botnet

Victims:
Ssh servers, compromised web server, peer2profit, honeygain, companies in libya, meris and anonymous sudan

Geo:
Libya

ChatGPT TTPs:
do not use without manual check
T1078, T1059, T1497, T1555, T1567

IOCs:
File: 2
Hash: 1

Soft:
docker, curl

Links:
https://github.com/curl/curl

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, code: 1, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Киберпреступники используют новую технику - proxyjacking - для получения прибыли за счет использования неиспользуемой полосы пропускания жертвы, и это представляет серьезную угрозу как для корпоративного мира, так и для рядовых потребителей.
-----

Команда Akamai Security Intelligence Response Team (SIRT) раскрыла кампанию проксиджекинга, в рамках которой киберпреступники используют уязвимые SSH-серверы, запуская службы Docker для совместного использования пропускной способности жертвы и получения прибыли. По сравнению с криптоджекингом, который также используется для заработка на взломанных устройствах, проксиджекинг - более скрытная альтернатива, которая может вызвать еще больше головной боли при атаках 7-го уровня. С помощью proxyjacking злоумышленники не только крадут ресурсы, но и используют неиспользуемую пропускную способность канала жертвы. Такие компании, как Peer2Profit и Honeygain, предоставляют обычным пользователям возможность заработать на своей дополнительной полосе пропускания, но они часто не задают вопросов о том, как был получен новый прокси-узел, оставляя место для незаконной деятельности.

Атака начинается с того, что злоумышленник получает доступ к системе жертвы, используя взломанный веб-сервер для распространения необходимых зависимостей. Попав внутрь, злоумышленник запускает вредоносный скрипт Bash, чтобы превратить систему в узел прокси-сети Peer2Profit или Honeygain. Этот скрипт разработан как скрытный и надежный, он пытается работать независимо от программного обеспечения, установленного на хост-системе. Было обнаружено, что вредоносный скрипт на самом деле содержит утилиту для майнинга криптовалюты, а также другие эксплойты и инструменты взлома.

Ценность прокси-серверов для киберпреступников заключается в их способности запутывать следы, затрудняя отслеживание вредоносной деятельности до ее истоков. Направляя вредоносный трафик через множество узлов-аналогов, прежде чем он достигнет места назначения, преступники могут остаться незамеченными. Кроме того, благодаря относительно низкому использованию процессора и использованию неиспользуемой пропускной способности интернета, проксиджекинг зачастую сложнее обнаружить, чем криптоджекинг.

Проксиджекинг с целью получения прибыли - яркий пример того, как злоумышленники постоянно ищут инновационные стратегии для максимизации своей прибыли при минимизации усилий. Возможность монетизировать прокси как филиалы основных компаний делает этот вектор серьезной угрозой как для корпоративного мира, так и для рядовых потребителей. Повышение осведомленности и внедрение превентивных мер позволит эффективно противостоять этому новому случаю использования старой техники.

#ParsedReport #CompletenessHigh
29-06-2023

PhonyC2: Revealing a New Malicious Command & Control Framework by MuddyWater

https://www.deepinstinct.com/blog/phonyc2-revealing-a-new-malicious-command-control-framework-by-muddywater

Report completeness: High

Actors/Campaigns:
Muddywater (motivation: cyber_espionage)
Darkbit

Threats:
Muddyc3
Ligolo
Chisel_tool
Beacon
Powerstats
Log4shell_vuln
Powgoop
Metasploit_tool
Simplehelp_tool
Ehorus_tool

Geo:
Iranian, Israel, Israeli

CVEs:
CVE-2023-27350 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- papercut papercut ng (<20.1.7, <21.2.11, <22.0.9)
- papercut papercut mf (<22.0.9, <21.2.11, <20.1.7)


TTPs:
Tactics: 4
Technics: 9

IOCs:
File: 4
Path: 5
Registry: 3
IP: 29
Domain: 20
Url: 1
Command: 2
Hash: 6

Soft:
papercut, windows registry

Algorithms:
base64, zip

Languages:
python

Links:
https://github.com/ahmedkhlief/muddyc3-Revived/
https://github.com/ekzhang/bore
https://github.com/deepinstinct/PhonyC2-MuddyWater-Research
https://github.com/sophoslabs/IoCs/blob/master/papercut-nday-indicators-of-compromise.csv
https://github.com/ahmedkhlief/muddyc3-Revived/tree/master/core

#ParsedReport #ExtractedSchema

Classified images:
code: 17, windows: 2, schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: MuddyWater - это группа кибершпионажа, выявленная группой исследования угроз Deep Instinct, которая использует фреймворк PhonyC2 для эксплуатации систем, часто с помощью социальной инженерии и PowerShell. Этот фреймворк был замечен в атаке на Институт Техниона, а также в активной кампании по эксплуатации PaperCut. Команда обнаружила доменные имена, зарегистрированные MuddyWater, которые активны и сегодня.
-----

MuddyWater, подчиненный элемент иранского Министерства разведки и безопасности (MOIS), является группой кибершпионажа, выявленной группой исследования угроз Deep Instinct. Команда обнаружила новую структуру C2 (командование и управление), созданную и используемую MuddyWater по крайней мере с 2021 года, под названием PhonyC2. Эта структура была использована в атаке на Институт Техниона и в настоящее время используется в активной кампании по эксплуатации PaperCut. Эта структура похожа на предыдущую структуру C2, созданную MuddyWater, MuddyC3.

MuddyWater в первую очередь использует социальную инженерию в качестве начальной точки доступа для заражения полностью исправленных систем. Организациям следует продолжать укреплять системы и следить за активностью PowerShell. В апреле 2023 года команда Deep Instinct обнаружила три вредоносных сценария PowerShell в составе архива под названием PhonyC2_v6.zip. Поскольку журнал изменений или история версий отсутствуют, команда исследовала исходный код, чтобы лучше понять структуру и функциональность этого C2-фреймворка.

Система написана на языке Python 3 и состоит из нескольких скриптов, которые работают вместе для создания полезной нагрузки, подключающейся к C2 и ожидающей инструкций от оператора. Это позволяет оператору выполнять команды на всех подключенных компьютерах одновременно, например, полезную нагрузку ransomware, а также сохранять устойчивость при перезапуске зараженного узла.

Команда также обнаружила IP-адреса, связанные с PhonyC2, которые фигурируют в отчете Microsoft об атаке Technion, а также в других отчетах Talos и Group-IB. Кроме того, команда обнаружила доменные имена, зарегистрированные в 2021 году компанией MuddyWater, которые активны и сегодня.

В мае 2023 года компания Microsoft упомянула, что наблюдала, как MuddyWater эксплуатирует CVE-2023-27350 в программе управления печатью PaperCut, и предоставила индикаторы различных вторжений PaperCut. Deep Instinct обнаружил, что два IP-адреса из этих вторжений являются серверами PhonyC2 на основе шаблонов URL.

MuddyWater постоянно обновляет C2-фреймворк и меняет TTP, чтобы избежать обнаружения, как видно из блога и расследования утечки кода PhonyC2. Более новая версия PhonyC2, чем V6, была замечена при сканировании URL на IP 195.20.17 . 44, причем к закодированной полезной нагрузке был добавлен доброкачественный HTML-код для дальнейшего сокрытия их деятельности. В подсети 195.20.17.0/24 этого сервера был обнаружен IP-адрес с пассивным DNS-ответом am1211.iransos . me, который, как подозревает команда, арендуется каким-то иранским VPS-провайдером, используемым MuddyWater.

#ParsedReport #CompletenessLow
30-06-2023

Cobalt Strikes Deployment with Hardware Breakpoint for AMSI Bypass. Cobalt Strike s Deployment with Hardware Breakpoint for AMSI Bypass

https://labs.k7computing.com/index.php/cobalt-strikes-deployment-with-hardware-breakpoint-for-amsi-bypass

Report completeness: Low

Threats:
Cobalt_strike
Amsi_bypass_technique

Victims:
Domain logon users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059, T1566, T1086, T1574, T1547, T1545, T1218, T1064, T1053, T1543, have more...

IOCs:
Hash: 3

Algorithms:
gzip, base64, xor

Win API:
AddVectoredExceptionHandler

Links:
https://github.com/EricZimmerman/LECmd
https://github.com/Sentinel-One/CobaltStrikeParser

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Cobalt Strike разработала новый TTP для обхода AMSI, который включает создание аппаратной точки останова в интерфейсе с помощью LNK-файла. K7 Labs обнаружила угрозу, и пользователям рекомендуется использовать K7 Total Security для защиты своих устройств.
-----

Новая тактика, техника и процедуры (ТТП) Cobalt Strike для обхода Antimalware Scan Interface (AMSI) включает создание аппаратной точки останова в интерфейсе с помощью LNK-файла. Инструмент под названием LECmd использовался для извлечения аргумента LNK-файла, который вызывает сценарий PowerShell для получения кода с вредоносного веб-сайта. Этот код включает аппаратную точку останова (Dr0) по адресу буфера сканирования AMSI. Чтобы обойти AMSI, в API AddVectoredExceptionHandler для точки останова регистрируется обработчик исключений. Затем код обработчика собирает записи и адреса исключений и выполняет действия, если исключение найдено по адресу буфера сканирования AMSI. Он сохраняет значение указателя стека, устанавливает адрес возврата в указателе инструкций и устанавливает значение возврата равным 0.

Код также содержит сценарий PowerShell для создания персистентности через папку запуска и загрузки сжатой в GZIP Base64 String. Эта полезная нагрузка предназначена для пользователей, подключившихся в упомянутом списке доменов. После декодирования и XOR с int(35) раскрывается окончательная полезная нагрузка Cobalt Strike.

Лаборатория K7 Labs обнаруживает такие угрозы, и пользователям рекомендуется защитить свои устройства с помощью надежного продукта безопасности, такого как K7 Total Security. Постоянное обновление продукта - залог защиты от новейших угроз.

#ParsedReport #CompletenessHigh
29-06-2023

Key takeaways. The DPRK strikes using a new variant of RUSTBUCKET

https://www.elastic.co/security-labs/DPRK-strikes-using-a-new-variant-of-rustbucket

Report completeness: High

Actors/Campaigns:
Ref9135 (motivation: cyber_espionage)
Lazarus (motivation: cyber_espionage, financially_motivated)
Cryptocore

Threats:
Rustbucket
Seth_locker
Applescript

Victims:
Venture-backed cryptocurrency company

Industry:
Financial

Geo:
Korea, Dprk, Bangladesh

TTPs:
Tactics: 7
Technics: 0

IOCs:
Domain: 7
IP: 2
File: 1
Url: 1
Hash: 9

Soft:
macos, curl, kibana

Algorithms:
sha256, zip

Languages:
rust

Platforms:
arm, intel, apple

YARA: Found

Links:
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/MacOS\_Trojan\_RustBucket.yar
https://github.com/elastic/labs-releases/tree/main/indicators/rustbucket
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/persistence\_persistence\_via\_suspicious\_launch\_agent\_or\_launch\_daemon.toml

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, windows: 1, code: 4, chart: 2, table: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Корейская Народно-Демократическая Республика (КНДР) активно разрабатывает новый вариант вредоносного ПО RUSTBUCKET, и лаборатория Elastic Security Labs обнаружила в нем способность к постоянству, ранее не встречавшуюся в семействе RUSTBUCKET. Этот новый вариант добавляет встроенную функцию персистенции и не обнаруживается текущими сигнатурными системами на VirusTotal. Организации должны сохранять бдительность в отношении этих кампаний, чтобы защитить себя и своих клиентов от угрозы этого нового варианта RUSTBUCKET.
-----

Корейская Народно-Демократическая Республика (КНДР) активно разрабатывает новый вариант вредоносного ПО RUSTBUCKET, который был приписан группе BlueNorOff компанией Jamf Threat Labs в апреле 2023 года. Этот новый вариант добавляет встроенную функцию персистентности и не обнаруживается текущими сигнатурными системами на VirusTotal. Действующие лица REF9135 используют RUSTBUCKET для устойчивых операций в провайдере услуг криптовалютных платежей, чтобы получить финансовую выгоду от глобальных санкций. Вредоносная программа написана на языках Swift и Rust и работает на основе аргументов командной строки. Она собирает системную информацию и отправляет ее на сервер C2 в рамках первоначального POST-запроса. Она также содержит возможность загрузки и выполнения вредоносных двоичных файлов Mach-O или сценариев оболочки, а также самоликвидации.

Лаборатория Elastic Security Labs обнаружила способность к сохранению, ранее не встречавшуюся в семействе RUSTBUCKET, что указывает на активную разработку вредоносной программы. Владельцы кампании используют такие методы, как изменение домена C2 после сбора двоичных файлов 2 и 3 стадии для анализа, а также модифицированную строку User-Agent, чтобы ограничить распространение и опередить усилия по обнаружению.

Используя структуру MITRE ATT&CK для документирования тактики, методов и процедур, правила поведения Elastic Defend обеспечивают защиту и видимость для пользователей от этого нового варианта RUSTBUCKET. Elastic также выпустила сигнатуру, которая предотвращает выполнение этого нового варианта RUSTBUCKET. Кроме того, с помощью раздела Timeline решения безопасности в Kibana на вкладке Correlation можно использовать запросы EQL для поиска поведения, наблюдаемого в REF9135.

КНДР имеет долгую историю финансово мотивированных атак на уязвимые организации, особенно те, которые имеют доступ к большим суммам криптовалюты. Ограбление банка Бангладеш в 2016 году стало самой известной атакой BlueNorOff, целью которой был незаконный перевод более $850 млн со счета Федерального резервного банка Нью-Йорка, принадлежащего Бангладеш Банку, центральному банку Бангладеш, с помощью сети SWIFT. С появлением нового варианта вредоносной программы RUSTBUCKET важно, чтобы организации сохраняли бдительность в отношении этих кампаний, чтобы защитить себя и своих клиентов.

#ParsedReport #CompletenessLow
30-06-2023

NetSupport Malware Distributed via Mail

https://asec.ahnlab.com/ko/54901

Report completeness: Low

Threats:
Netsupportmanager_rat
Trojan/js.agent.sc189783

Industry:
Transport

ChatGPT TTPs:
do not use without manual check
T1170, T1036, T1064, T1204, T1140

IOCs:
File: 3
Url: 2

Languages:
javascript, php

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: NetSupport RAT - это вредоносная программа, распространяемая через фишинговые электронные письма и маскирующаяся под вложение zip-файла. Она способна загружать дополнительные сценарии PowerShell и выполнять их при загрузке системы, и может быть идентифицирована с помощью Anti-Malware Scan Interface (AMSI).
-----

NetSupport RAT - это вредоносная программа, которая распространяется через фишинговые электронные письма. Эти письма обычно имеют форму счетов, отгрузочных документов и заказов на поставку и предназначены для того, чтобы обманом заставить жертву загрузить вредоносный код. Вредоносный JavaScript маскируется под вложение файла scan16431643.zip. После открытия вредоносный код получает доступ к серверу C2, загружает дополнительные сценарии PowerShell и выполняет их.

Сценарий PowerShell загружает NetSupport RAT, создает его в папке TimeUTCSync_(случайное число) в локальном подпункте %Appdata%, создает его с именем файла client32.exe и регистрирует его для автоматического выполнения при загрузке системы. Anti-Malware Scan Interface (AMSI) может быть использован для сбора расшифрованных данных, таких как команды PowerShell и адреса C2 из вредоносного JavaScript.

#rstcloud
Мы отказались от влияния времени на скоринг HASH, т.е. теперь хэши не устаревают, а их уровень опасности зависит только от:
- консолидированного доверия к приславшим HASH источникам;
- контекста HASH.
С понедельника, публикуемые через наш API HASH-и, будут приходить уже со скорингом, рассчитанным по новым правилам.