#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: NetSupport RAT - это вредоносная программа, распространяемая через фишинговые электронные письма и маскирующаяся под вложение zip-файла. Она способна загружать дополнительные сценарии PowerShell и выполнять их при загрузке системы, и может быть идентифицирована с помощью Anti-Malware Scan Interface (AMSI).
-----

NetSupport RAT - это вредоносная программа, которая распространяется через фишинговые электронные письма. Эти письма обычно имеют форму счетов, отгрузочных документов и заказов на поставку и предназначены для того, чтобы обманом заставить жертву загрузить вредоносный код. Вредоносный JavaScript маскируется под вложение файла scan16431643.zip. После открытия вредоносный код получает доступ к серверу C2, загружает дополнительные сценарии PowerShell и выполняет их.

Сценарий PowerShell загружает NetSupport RAT, создает его в папке TimeUTCSync_(случайное число) в локальном подпункте %Appdata%, создает его с именем файла client32.exe и регистрирует его для автоматического выполнения при загрузке системы. Anti-Malware Scan Interface (AMSI) может быть использован для сбора расшифрованных данных, таких как команды PowerShell и адреса C2 из вредоносного JavaScript.

#rstcloud
Мы отказались от влияния времени на скоринг HASH, т.е. теперь хэши не устаревают, а их уровень опасности зависит только от:
- консолидированного доверия к приславшим HASH источникам;
- контекста HASH.
С понедельника, публикуемые через наш API HASH-и, будут приходить уже со скорингом, рассчитанным по новым правилам.

#ParsedReport #CompletenessLow
03-07-2023

Crysis Threat Actor Installing Venus Ransomware Through RDP

https://asec.ahnlab.com/en/54937

Report completeness: Low

Threats:
Venus_locker
Dharma
Mimikatz_tool
Passview_tool
Vncpassview_tool
Bulletspassview_tool
Routerpassview_tool
Messenpass_tool
Ransomware/win.venus.c5220541
Trojan/win32.rl_mimikatz.r281240
Trojan/win32.rl_mimikatz.r364133
Ransom/mdp.decoy.m1171
Ransom/mdp.command.m2255
Ransom/mdp.event.m1785

Victims:
Externally exposed remote desktop services

ChatGPT TTPs:
do not use without manual check
T1078, T1021, T1015

IOCs:
File: 23
Email: 3
Command: 2
Hash: 16

Soft:
remote desktop services, windows explorer, onenote, outlook, thebat64, wordpad, bcdedit

Win Services:
agntsvc, dbeng50, dbsnmp, encsvc, infopath, isqlplussvc, mydesktopqos, mydesktopservice, ocautoupds, ocomm, have more...

Platforms:
x64

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Центр экстренного реагирования на чрезвычайные ситуации лаборатории безопасности AhnLab (ASEC) недавно обнаружил, что угрожающий субъект использует вымогательское ПО Crysis и Venus для атак на внешние службы удаленного рабочего стола. Чтобы предотвратить подобные атаки, пользователям следует отключать RDP, когда он не используется, использовать сложные пароли для своих учетных записей и обновить V3 до последней версии, чтобы предотвратить заражение вредоносным ПО.
-----

Центр экстренного реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) недавно обнаружил, что угрожающий субъект использовал вымогательские программы Crysis и Venus для атак на внешние службы удаленного рабочего стола. Журналы инфраструктуры AhnLab Smart Defense (ASD) показывают, что злоумышленник также использовал различные другие инструменты, такие как сканер портов и Mimikatz, для получения доступа к зараженной системе.

Субъекты угроз обычно используют протокол RDP (Remote Desktop Protocol) для сканирования систем, которые разрешают внешний доступ, а затем используют перебор или атаки по словарю для получения доступа к учетным записям со слабыми паролями. Получив учетные данные, они могут использовать RDP для входа в систему и выполнения вредоносных действий. В данном случае объект угрозы использовал RDP для установки программы Venus ransomware, а когда ему не удалось успешно зашифровать систему с помощью Crysis ransomware, он повторил атаку с помощью Venus.

Venus ransomware изменяет рабочий стол и отображает файл README, содержащий сообщение, предупреждающее пользователя о том, что его информация была украдена, а файлы зашифрованы. В нем содержится указание связаться со злоумышленниками в течение 48 часов, чтобы заплатить выкуп.

Для предотвращения подобных атак пользователям следует отключать RDP, когда он не используется, использовать сложные пароли для своих учетных записей и обновлять V3 до последней версии, чтобы предотвратить заражение вредоносным ПО. Кроме того, следует периодически менять пароли для предотвращения атак методом перебора и по словарю. Выполнение этих шагов обеспечит лучшую защиту систем от вымогательского ПО и других вредоносных действий.

#ParsedReport #CompletenessMedium
03-07-2023

Analysis of Rekoobe backdoor used in domestic Linux system attacks

https://asec.ahnlab.com/ko/55070

Report completeness: Medium

Actors/Campaigns:
Apt31

Threats:
Rekoobe_rootkit
Supply_chain_technique

Victims:
Domestic companies

Geo:
Korea, Chinese

ChatGPT TTPs:
do not use without manual check
T1543.001, T1059, T1090, T1064

IOCs:
Hash: 4
Domain: 2
IP: 3
Url: 1

Soft:
wordpress

Algorithms:
xor, aes-128, sha1, hmac

Functions:
strcpy

Languages:
java

Platforms:
x64, x86

Links:
https://github.com/creaktive/tsh/tree/master

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Rekoobe - это вредоносная программа с бэкдором, нацеленная на системы Linux, впервые обнаруженная в 2015 году. Известно, что она используется китайской атакующей группой APT31 и способна загружать вредоносные файлы, красть файлы из системы и выполнять команды с сервера C&C.
-----

Rekoobe - это вредоносная программа-бэкдор, нацеленная на среду Linux, впервые обнаруженная в 2015 году. Известно, что она используется китайской атакующей группой APT31 и способна загружать вредоносные файлы, красть файлы из системы и выполнять команды с C&C-сервера. Rekoobe использует ключ AES-128, который генерируется с помощью алгоритма HMAC SHA1 для шифрования данных при обмене с C&C-сервером. Он также изменяет имя процесса на /bin/bash, чтобы его было трудно распознать.

До недавнего времени было выявлено несколько образцов Rekoobe, которые в основном имеют одинаковую базовую форму, но различаются в связи с C&C-сервером. Некоторые сначала подключаются к жестко закодированному C&C-серверу, а другие открывают порт в виде bind shell и ждут подключения C&C-сервера. Rekoobe предположительно имеет отдельный билдер, так как часто использует строку пароля по умолчанию. Кроме того, он характеризуется тем, что для проверки целостности в большинстве случаев используются одни и те же данные.

Вредоносная программа Rekoobe использовалась в атаках, направленных на домашние системы, и в основном имеет архитектуру x64. Предполагается, что она нацелена на серверы Linux и имеет форму обратной оболочки. Почта и сервисы собираются в относительно одинаковое время, а поскольку пароли, указанные злоумышленниками, практически идентичны, предполагается, что их использовал один и тот же злоумышленник.

#ParsedReport #CompletenessMedium
03-07-2023

Multiple New Clipper Malware Variants Discovered in the Wild

https://blog.cyble.com/2023/06/30/multiple-new-clipper-malware-variants-discovered-in-the-wild

Report completeness: Medium

Threats:
Laplasclipper
Iban_clipper
Atlas_clipper
Keyzetsu
Beacon

Victims:
Cryptocurrency users

Industry:
Financial

TTPs:
Tactics: 5
Technics: 14

IOCs:
File: 4
Command: 1
Path: 1
Hash: 3

Soft:
telegram, kmsauto

Algorithms:
base64, gzip, sha256, sha1

Functions:
Decrypt

Win API:
OpenClipboard, GetClipboardData, IsClipboardFormatAvailable, SetClipboardData, CloseClipboard

Win Services:
WebClient

Languages:
golang

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Вредоносная программа Clipper - это вредоносная программа, которая нацелена на пользователей криптовалют с целью обманом лишить их цифровых активов. Она сопровождается дополнительными вредоносными программами, такими как Coinminer, loaders и stealers, и CRIL будет продолжать отслеживать последние фишинговые или вредоносные штаммы в природе, чтобы защитить пользователей от этих опасных атак.
-----

Вредоносная программа Clipper - это вредоносная программа, направленная на пользователей криптовалют с целью обмана их цифровых активов. Она действует путем перехвата криптовалютных транзакций и замены адреса кошелька жертвы на адрес угрожающих субъектов. Для достижения своей цели вредоносная программа Clipper использует целый ряд методов, таких как мониторинг активности буфера обмена, применение методов анти-анализа и использование каналов Telegram для командно-контрольной связи. Atlas Clipper, Keyzetsu Clipper и KWN Clipper - вот некоторые из различных вариантов вредоносной программы Clipper, обнаруженных в последнее время.

Atlas Clipper стоит 50 долларов и может хранить семь адресов криптокошельков. Он использует мьютекс, чтобы гарантировать, что на машине жертвы будет запущен только один экземпляр вредоносной программы. Для работы с буфером обмена он также использует функции OpenClipboard(), GetClipboardData(), IsClipboardFormatAvailable() и SetClipboardData(). Keyzetsu Clipper может хранить и управлять более чем 12 адресами криптовалютных кошельков и использует канал Telegram для установления связи с ТА. Он извлекает информацию о целевых криптовалютах и связанных с ними регулярных выражениях. Наконец, клиппер KWN использует функции OpenClipboard(), GetClipboardData(), IsClipboardFormatAvailable() и SetClipboardData() для выполнения операций клиппера и отправляет информацию о жертве своему Telegram-боту.

Рост числа вредоносных программ Clipper представляет значительную угрозу для лиц, занимающихся криптовалютной деятельностью, поскольку они нацелены на перехват их транзакций и перенаправление средств на кошельки злоумышленников. Более того, вредоносное ПО Clipper часто сопровождается дополнительными вредоносными программами, такими как Coinminer, loaders и stealers, что еще больше подчеркивает необходимость усиления мер безопасности. Чтобы защитить пользователей от этих опасных атак, CRIL продолжит отслеживать последние фишинговые или вредоносные программы в природе и предоставлять оперативную информацию в блогах.

#ParsedReport #CompletenessMedium
03-07-2023

APT Profile: FIN7

https://socradar.io/apt-profile-fin7

Report completeness: Medium

Actors/Campaigns:
Carbanak (motivation: information_theft, cyber_criminal, financially_motivated, cyber_espionage)
Pinchy_spider
Darkside (motivation: cyber_criminal)
Blackmatter
Blackcat
Magecart (motivation: financially_motivated)

Threats:
Carbon
Bateleur
Pillowmint
Jssloader
Revil
Blackbasta
Blackcat
Clop
Badusb_technique
Lizar
Powertrash_tool
Kerberoasting_technique

Industry:
Petroleum, Financial, Energy, Healthcare, Education, Government, Telco, E-commerce, Retail

Geo:
Asia, Russian, American, Mexican

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft office (2007, 2013, 2010, 2016)

CVE-2023-27532 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 7.5
X-Force: Patch: Official fix
Soft:
- veeam backup \& replication (11.0.1.1261, 12.0.0.1420)


TTPs:
Tactics: 1
Technics: 31

IOCs:
File: 1

Soft:
microsoft word, microsoft office, outlook, directx, microsoft excel, telegram, windows service

Languages:
jscript, javascript, visual_basic

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: FIN7 - это сложная и финансово мотивированная киберпреступная группа, которая действует с 2013 года и похитила миллионы долларов у множества предприятий по всему миру. Они используют различные инструменты и техники для бокового перемещения в сети и сместили акцент с финансовых учреждений на атаки на крупные корпорации с целью получения выкупа. Несмотря на усилия правоохранительных органов и организаций по кибербезопасности, FIN7 остается значительной угрозой для глобальной кибербезопасности.
-----

FIN7 - это сложная и финансово мотивированная киберпреступная группа, действующая с 2013 года. Предполагается, что группировка является российской, а ее методы работы сочетают в себе множество инновационных вредоносных программ, целевые кампании spear-phishing и неумолимое упорство, что делает ее грозным противником. Они похитили миллионы долларов у бесчисленных компаний по всему миру, используя уязвимости и сея страх в отраслях. Основной целью FIN7 является утечка данных, часто включающая конфиденциальную финансовую информацию, например, данные кредитных карт.

FIN7 использует различные инструменты и техники для бокового перемещения в сети. Например, они используют CVE-2017-11882 для эксплуатации уязвимостей в системе получателя. Они также известны использованием пользовательских инструментов, таких как бэкдор Carbanak и вредоносное ПО POS. Чтобы получить доступ к системе, они часто выдают себя за поставщика или клиента.

В 2020 году FIN7 переключила свое внимание с финансовых учреждений на атаки с использованием выкупа на крупные корпорации, используя для своей первой кампании BGH ransomware REvil от PINCHY SPIDER. Они разработали Darkside ransomware, которая следует методу двойного вымогательства и может использоваться в качестве RaaS. После прекращения работы Darkside, FIN7 продолжила свою деятельность, используя различные инструменты и методы, включая BlackMatter, новую программу RaaS. FIN7 была связана с развертыванием программ Black Basta, BlackCat (ALPHV) и Clop Ransomware.

FIN7 имеет широкий спектр целей в различных отраслях, в основном фокусируясь на розничной торговле, ресторанном бизнесе и гостиничном бизнесе. Их жертвами обычно становятся крупные предприятия, иногда даже транснациональные корпорации. Страны, на которые нацеливается FIN7, могут быть выбраны на основании нескольких факторов, таких как возможность получения финансовой выгоды, наличие подходящих целей или ситуация с регулированием и киберзащитой в этих странах.

Кроме того, FIN7 был связан с несколькими другими группами угроз, в частности, с группой Carbanak (также известной как Anunak) и Magecart Group 5. Последние результаты исследований также связывают FIN7 с атаками Clop ransomware.

FIN7 продолжает осуществлять сложные и масштабные кибератаки. Например, в июне 2021 года они атаковали юридическую фирму с помощью поддельной жалобы, которая, как оказалось, принадлежала Brown-Forman Inc., а в 2020 году они рассылали физические письма якобы от Best Buy с подарочной картой на 50 долларов и USB-накопителем. В недавнем отчете говорится о том, что FIN7 атаковала серверы Veeam, используя уязвимость (CVE-2023-27532) в программном обеспечении Veeam Backup & Replication.

Несмотря на значительные усилия правоохранительных органов и организаций по кибербезопасности, FIN7 продолжает представлять значительную угрозу для глобальной кибербезопасности. Их способность адаптироваться и упорство делают их грозным противником. Организации должны укреплять свои защитные механизмы, чтобы защитить себя от угрозы, исходящей от FIN7.

#ParsedReport #CompletenessMedium
03-07-2023

Neo_Net \| The Kingpin of Spanish eCrime

https://www.sentinelone.com/blog/neo_net-the-kingpin-of-spanish-ecrime

Report completeness: Medium

Actors/Campaigns:
Leviathan

Threats:
Neo_net_actor
Lizar
Nevada_ransomware

Victims:
Clients of prominent banks, santander, bbva, caixabank, crédit agricole, ing, deutsche bank, national bank of greece, sparkasse, santander uk, bawag p.s.k., ing, bancoestado, scotiabank, banco ripley, banco de chile, banco falabella, banco de crédito e inversiones, ita corpbanca, bancolombia, banco de venezuela, bbva, banco pichincha, zinli, prosperity bank, greater nevada credit union, commbank

Industry:
Financial

Geo:
Mexico, Australia, Spain, Peru, Greece, France, Netherlands, Chilean, Panama, Chile, Colombia, Austria, Ita, Usa, Venezuela, Germany, Ecuador, Spanish, Pol, Deutsche, Poland

TTPs:

IOCs:
Domain: 6
Hash: 38

Soft:
android, telegram

Languages:
php

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Neo_Net - успешный субъект киберпреступной угрозы, ответственный за многоступенчатую стратегию атаки, которая привела к краже более 350 000 евро и компрометации личной идентифицируемой информации (PII) тысяч жертв. Данное исследование подчеркивает необходимость бдительности и надежных мер безопасности для защиты учетных данных онлайн-банкинга и PII.
-----

Компании SentinelOne и vx-underground недавно провели первый конкурс Malware Research Challenge, в ходе которого был проведен глубокий анализ киберпреступного агента, известного как Neo_Net. В период с июня 2021 года по апрель 2023 года Neo_Net отвечал за весьма успешную кампанию по борьбе с электронной преступностью, направленную на клиентов известных банков по всему миру, в основном в Испании и Чили. Благодаря многоступенчатой стратегии атаки и целенаправленному использованию фишинговых SMS-сообщений, фишинговых панелей, троянов для Android и программного обеспечения Smishing, Neo_Net удалось похитить более 350 000 евро с банковских счетов жертв и скомпрометировать значительный объем персонально идентифицируемой информации (PII).

Neo_Net является организатором публичного профиля на GitHub, аккаунта в Telegram и платформы Ankarex Smishing-as-a-Service, которая нацелена на девять стран и предлагает на канале Ankarex лиды на продажу, включая имена жертв, адреса электронной почты, IBAN и номера телефонов. Neo_Net был связан с форумом macosfera.com, испаноязычным ИТ-форумом, где его адреса электронной почты были обнаружены в связи с несколькими созданными им фишинговыми панелями, направленными на испанские банки и другие учреждения. В настоящее время он проживает в Мексике и общается преимущественно на испанском языке.

Несмотря на использование в основном несложных инструментов и методов, Neo_Net и его аффилированные лица сумели успешно похитить сотни тысяч евро и скомпрометировать PII тысяч жертв по всему миру. Успех их кампаний может быть объяснен узконаправленным характером их операций: они часто фокусируются на одном банке и копируют свои сообщения, выдавая себя за агентов банка. Кроме того, из-за простоты SMS-шпионского ПО его трудно обнаружить, поскольку оно требует только разрешения на отправку и просмотр SMS-сообщений. Neo_Net также был замечен в повторном использовании скомпрометированной PII для получения дальнейшей прибыли.

Это комплексное исследование глобальной кампании киберпреступности Neo_Net подчеркивает необходимость оставаться бдительными и осведомленными о злоумышленниках и их тактике. Важно использовать надежные меры безопасности, такие как механизмы многофакторной аутентификации (MFA), а также дополнительные меры предосторожности для защиты учетных данных онлайн-банкинга и PII.

#ParsedReport #CompletenessMedium
03-07-2023

Chinese Threat Actors Targeting Europe in SmugX Campaign

https://research.checkpoint.com/2023/chinese-threat-actors-targeting-europe-in-smugx-campaign

Report completeness: Medium

Actors/Campaigns:
Smugx
Red_delta
Camaro_dragon

Threats:
Html_smuggling_technique
Plugx_rat
Dll_sideloading_technique

Victims:
Foreign affairs ministries and embassies in europe

Industry:
Government

Geo:
Hungary, China, Budapest, Chinese, Swedish, France

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1192, T1007, T1135

IOCs:
File: 9
Url: 1
IP: 5
Path: 5
Hash: 41
Domain: 2

Wallets:
harmony_wallet

Algorithms:
zip, rc4, xor

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
code: 2, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Check Point Research обнаружила целенаправленную кампанию китайских угроз, использующих технику HTML Smuggling для распространения вредоносного ПО PlugX. Эта кампания имеет общие черты с деятельностью других китайских APT-акторов.-----

Компания Check Point Research недавно обнаружила целевую кампанию, проводимую китайским агентом угроз, направленную на правительственные организации в Европе. Кампания использует технику HTML Smuggling, которая используется для скрытия вредоносной полезной нагрузки внутри HTML-документов, что позволяет обойти сетевые меры обнаружения. После сложной цепочки заражения, включающей архивы или MSI-файлы, атаки внедряют PlugX - имплантат, обычно ассоциируемый с китайскими угрозами. Эта кампания называется SmugX и пересекается с ранее зарегистрированной деятельностью китайских APT-акторов RedDelta и Mustang Panda. Нет достаточных доказательств, чтобы связать эту кампанию непосредственно с Camaro Dragon.

Эта кампания использует несколько цепочек заражения, в которых применяется техника HTML Smuggling, что приводит к развертыванию полезной нагрузки PlugX. Большинство документов содержали дипломатический контент, непосредственно связанный с Китаем, например, письмо из посольства Сербии в Будапеште, документ с изложением приоритетов шведского председательства в Совете Европейского Союза, приглашение на дипломатическую конференцию, выпущенное Министерством иностранных дел Венгрии, и статью о двух китайских адвокатах по правам человека, приговоренных к более чем десятилетнему тюремному заключению.

Злоумышленники также использовали технику удаленного изображения для доступа к URL-адресу, содержащему изображение с одним пикселем. Эта техника, называемая отслеживанием пикселей, обычно используется в качестве разведывательного инструмента. При запросе удаленного изображения сервер злоумышленников регистрирует запрос, получая такую информацию, как IP-адрес, агент пользователя, а иногда и время доступа.

Две основные цепочки заражения происходят из HTML-файла, который сохраняет второй этап в папку Download в соответствии с настройками браузера жертвы. Второй этап может быть разным: в одной цепочке используется ZIP-архив, содержащий вредоносный LNK-файл, а в другой - JavaScript для загрузки MSI-файла с удаленного сервера. В первом сценарии HTML проносит ZIP-архив, содержащий вредоносный LNK-файл, который запускает PowerShell. PowerShell извлекает сжатый архив, встроенный в lnk-файл, и сохраняет его в каталоге %temp%. Архив содержит три файла: Легитимный исполняемый файл, используемый для боковой загрузки полезной нагрузки, вредоносная DLL, загружаемая боком, и полезная нагрузка PlugX. Во втором сценарии HTML Smuggling загружает файл JavaScript, который при выполнении загружает и исполняет MSI-файл с сервера злоумышленника.

PlugX - это инструмент удаленного доступа с модульной структурой, которая позволяет ему выполнять такие вредоносные действия, как кража файлов, захват экрана, регистрация нажатий клавиш и выполнение команд. Для обеспечения живучести полезная нагрузка PlugX копирует легитимную программу и DLL и сохраняет их в скрытом каталоге. Устойчивость вредоносной программы достигается путем добавления легитимной программы в ключ реестра Run. Агент угрозы отправил пакетный сценарий, чтобы стереть все следы своей деятельности.

Кампания SmugX имеет значительное сходство с деятельностью, приписываемой другими поставщиками безопасности RedDelta или Mustang Panda. К ним относятся инфраструктура, пути, целевая направленность и тактика заманивания, используемая в кампании. Вредоносная программа PlugX также практически не изменилась по сравнению с предыдущими появлениями, хотя один новый аспект был замечен - это использование RC4-шифрования полезной нагрузки, что является отходом от ранее использовавшегося XOR-шифрования.

#rstcloud
Twitter немного прифигел с изменениями в политике лицензирования своего API.
Пришлось теперь покупать подписку за 100 баксов в мес. Сейчас переписываем наш коннектор, т.к. наш прошлый подход требует подписки за 4200 баксов в мес., а для нас это пока существенная сумма :(

June's Cyber Battleground: Decoding Ransomware and APT Attacks in Europe

https://threatmon.io/wp-content/uploads/2023/07/junes-cyber-battleground-decoding-ransomware-and-apt-attacks-in-europe.pdf

#technique

A keystroke logger targeting the Remote Desktop Protocol (RDP) related processes, It utilizes a low-level keyboard input hook, allowing it to record keystrokes in certain contexts (like in mstsc.exe and CredentialUIBroker.exe)

https://github.com/TheD1rkMtr/TakeMyRDP

#technique

A command-line tool for reconnaissance and targeted write operations on Confluence and Jira instances.

https://github.com/werdhaihai/AtlasReaper

#technique

Tomcat backdoor based on CS blog

https://github.com/HackingLZ/TomcatBackdoorPoC

#technique

(Currently) Fully Undetected same-process native/.NET assembly shellcode injector based on RecycledGate by thefLink, which is also based on HellsGate + HalosGate + TartarusGate to ensure undetectable native syscalls even if one technique fails.

https://github.com/florylsk/RecycledInjector