#education #inseca

TI в России набирает популярность и вместе с этим растет потребность в системном обучении специалистов по киберразведке. RST Cloud выступил партнером одного из первых курсов по Threat Intelligence в России. Курс заточен на практику и учит мыслить, как TI-аналитик.

За 5 недель вы на практике пройдете весь жизненный цикл TI и научитесь:
- создавать собственный ландшафт угроз в MITRE
- анализировать TI-отчёты
- определять тактики и техники MITRE ATT&CK, используемые злоумышленниками
- настраивать opensource TI-платформу
- создавать инструменты для сбора, хранения и анализа данных из открытых источников с помощью Python
- и не только

В программу курса включен вебинар «CTI на практике. Работа с RST Cloud». Николай Арефьев, сооснователь RST Cloud, расскажет как работать с открытыми TI-данными и на что стоит обращать внимание в первую очередь, чтобы не превратить эту работу в ад.

Набор открыт, присоединяйтесь: https://clck.ru/34uGTr

У аналитиков начался сезон отпусков
(Статистика по кол-ву TI-отчетов)

#rstcloud
Сбор с Twitter снова запущен на новом движке.

#ParsedReport #CompletenessLow
06-07-2023

Malicious ad for USPS fishes for banking credentials

https://www.malwarebytes.com/blog/threat-intelligence/2023/07/malicious-ad-for-usps-phishes-for-jpmorgan-chase-credentials

Report completeness: Low

Victims:
Consumers and businesses

Industry:
Education, Financial

Geo:
Ukraine

IOCs:
Domain: 5

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Malvertising - это форма вредоносной рекламы, используемая для доставки вредоносных программ, мошенничества и фишинговых атак. Важно быть бдительным при поиске пакетов в Интернете и не нажимать на подозрительные рекламные объявления. Полный комплект защиты с защитой в режиме реального времени поможет защититься от атак с использованием вредоносной рекламы.
-----

Малвертайзинг - это форма вредоносной рекламы, которая используется для доставки вредоносных программ, мошенничества и фишинговых атак ничего не подозревающим жертвам. Недавно Джесси Баумгартнер, директор по маркетингу компании Overt Operator, обнаружил вредоносную рекламную кампанию при попытке отследить посылку на сайте Почтовой службы США. Вредоносное объявление содержало официальный URL и логотип сайта USPS, однако "рекламодатель" был из Украины. При нажатии на кнопку реклама перенаправляла жертв на вредоносный сайт, который собирал их адрес, данные кредитной карты и требовал войти в их банковский счет для проверки.

Эта кампания по вредоносной рекламе является прекрасным примером того, как субъекты угроз используют выдачу себя за бренд, чтобы протащить мошенническую рекламу через популярные поисковые системы. Это также напоминание о том, что обучение и просвещение пользователей может зайти так далеко, поскольку вредоносная реклама часто выглядит совершенно законно. Поэтому для защиты от таких атак, связанных с вредоносной рекламой, необходим полный комплекс защиты в режиме реального времени. Такой пакет должен быть способен нацеливаться на начальную рекламу, вплоть до полезной нагрузки, чтобы остановить злоумышленников на их пути.

К счастью, Google и Cloudflare уже отметили вредоносные домены как фишинговые, поэтому пользователи могут быть уверены, что их информация в безопасности. Тем не менее, важно сохранять бдительность при поиске пакетов в Интернете, поскольку злоумышленники могут попытаться использовать в своих интересах ничего не подозревающих пользователей. Если вы заметили подозрительную рекламу, лучше не нажимать на нее и обратиться непосредственно на официальный сайт. Приняв эти меры предосторожности, вы сможете защитить себя от злоумышленников и их попыток украсть ваши данные.

#ParsedReport #CompletenessHigh
06-07-2023

Blank Grabber Returns With High Evasiveness

https://www.cyfirma.com/outofband/blank-grabber-returns-with-high-evasiveness

Report completeness: High

Threats:
Blankgrabber
Aurora
Uac_bypass_technique
Binder
Dll_sideloading_technique
Upx_tool
Timestomp_technique
Credential_dumping_technique

Victims:
Organizations and individuals

Industry:
Financial

TTPs:
Tactics: 8
Technics: 24

IOCs:
File: 4
Domain: 1
Hash: 4

Soft:
windows defender, discord, whatsapp, telegram, roblox, windows registry

Algorithms:
xor, sha1, sha256

Functions:
SetValue

Languages:
python

SIGMA: Found

#ParsedReport #ExtractedSchema

Classified images:
windows: 5, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Инфокрад Blank Grabber обладает множеством функций и способен нанести серьезный ущерб организациям. Организации должны предпринимать упреждающие шаги для защиты от инфопохитителя, такие как развертывание и обновление решений для защиты конечных точек, внедрение решений для мониторинга сети, установление отношений с надежными поставщиками данных об угрозах и проведение регулярных программ повышения осведомленности о безопасности.
-----

Исследовательская группа CYFIRMA выявила конструктор инфопохитителей, известный как Blank Grabber, в ходе мониторинга обсуждений угрожающих субъектов. Он был выпущен в 2022 году, и только за последний месяц в проект было внесено 85 вкладов. Инфокрад предназначен для операционных систем Windows и способен похищать конфиденциальную информацию, такую как токены Discord, сессии Steam и Epic, данные браузера, такие как пароли, куки и история, а также различные другие учетные данные и системную информацию. Он может ускользать от обнаружения, отключать меры безопасности и сохраняться на взломанных системах.

Инфокража Blank Grabber написана на Python3 и скомпилирована на C++. Он поддерживается несколькими разработчиками, включая создателя под псевдонимом Blank и разработчика/админа BlackForums, известного как Astounding. Она обнаруживается только 1 из 69 производителей антивирусных систем. Вредоносная программа использует утилиту командной строки WMI (WMIC) для определения и отображения различной системной информации. Она также проверяет наличие Python и нескольких библиотек Python и устанавливает их, если они не найдены.

Blank Grabber обладает множеством функций, таких как создание графического интерфейса, обход UAC, пользовательский значок, запуск при запуске, отключение Windows Defender, Anti-VM, блокирование AV-сайтов, расплавление заглушки, фальшивая ошибка, связка EXE, обфускация заглушки, инъекция Discord и захват паролей из нескольких браузеров. Он также способен красть общие файлы, делать скриншоты всех дисплеев, захватывать изображения с веб-камеры и отправлять все данные через Discord Webhooks/Telegram Bot.

Влияние инфопохитителя Blank Grabber может быть серьезным для организаций; он способен скомпрометировать конфиденциальную информацию, включая учетные данные пользователей, интеллектуальную собственность и финансовые данные. Кража такой информации может привести к финансовым потерям, ущербу репутации, несоблюдению нормативных требований и юридическим последствиям. Кроме того, развертывание кражи может нарушить бизнес-операции, поставить под угрозу безопасность сети и подорвать доверие клиентов.

Для предотвращения угроз Blank Grabber организации должны предпринимать упреждающие шаги, такие как развертывание и регулярное обновление надежных решений для защиты конечных точек, внедрение решений для мониторинга сети, использование решений для веб-фильтрации, установление отношений с надежными поставщиками данных об угрозах, внедрение комплексной программы управления уязвимостями, регулярное проведение программ повышения осведомленности о безопасности, разработка и регулярное обновление плана реагирования на инциденты, создание надежной системы управления безопасностью, регулярное проведение аудита безопасности, оценки уязвимостей и тестирования на проникновение. Смените все пароли, которые хранились на вашем компьютере, удалите все папки, в названии которых есть слово discord, а затем переустановите discord, проверьте, заблокированы ли ваши AV-сайты или нет. Приняв эти превентивные меры, организации смогут эффективно защититься от таких похитителей информации, как Blank Grabber.

#ParsedReport #CompletenessMedium
06-07-2023

Welcome to New York: Exploring TA453's Foray into LNKs and Mac Malware

https://www.proofpoint.com/us/blog/threat-insight/welcome-new-york-exploring-ta453s-foray-lnks-and-mac-malware

Report completeness: Medium

Actors/Campaigns:
Cleaver (motivation: cyber_espionage)
Phosphorus
Irgc

Threats:
Gorjolecho
Noknok
Powerstar
Ghostecho
Charmpower

Victims:
Dropbox, Hsbc cyber intelligence and threat analysis, Royal united services institute (rusi), Foreign policies experts

Industry:
Transport, Financial

Geo:
Iran, Korean, Tehran

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 4
Hash: 2
Domain: 3
IP: 1

Soft:
microsoft word, curl, macos, outlook

Algorithms:
base64, aes, zip, sha256

Languages:
javascript

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, schema: 3, table: 2, code: 5

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: TA453 - это угрожающий агент, который продолжает адаптировать свой арсенал вредоносных программ и тактику для проведения операций кибершпионажа. Его приписывают Корпусу стражей исламской революции (КСИР), а чтобы минимизировать помехи со стороны охотников за угрозами, TA453 продолжает использовать легальные облачные сервисы.
-----

TA453 - угрожающий субъект, который продолжает адаптировать свой арсенал вредоносных программ для проведения операций кибершпионажа против интересующих его целей. В мае 2023 года TA453 начал развертывать вредоносные цепочки заражения LNK вместо документов Microsoft Word с макросами и отправил вредоносное ПО для Mac одной из своих недавних целей, продемонстрировав готовность приложить усилия для преследования своих целей. Цепочка заражения включает в себя доброкачественную замануху, маскирующуюся под старшего научного сотрудника Королевского института объединенных служб (RUSI), и зашифрованный паролем файл .rar, содержащий дроппер под названием Abraham Accords & MENA.pdf.lnk. LNK, вложенный в RAR, использует PowerShell для загрузки дополнительных этапов с облачного хостинг-провайдера, которые затем используют функцию Gorjol для загрузки закодированного в base64 содержимого из файла .txt.

Загруженный контент декодируется и вызывается, превращаясь в функцию Borjol, которая взаимодействует по зашифрованному AES HTTPS с зарегистрированным злоумышленником поддоменом fuschia-rhinestone.cleverapps.io через легитимный сервис Clever Cloud. Эта новая функция использует предыдущие переменные и приводит к расшифровке бэкдора PowerShell, названного Proofpoint GorjolEcho. GorjolEcho устанавливает постоянство, помещая копию начальных этапов в запись StartUp, и отображает ложный PDF, который соответствует содержанию начального фишингового подхода, прежде чем кодировать, шифровать и передавать информацию в C2.

TA453 также использовал мультиперсональное олицетворение в своем непрекращающемся шпионаже, начав контакт со своей целью с помощью доброкачественного электронного письма, а затем используя мультиперсональное олицетворение. Для доставки вредоносной программы для Mac TA453 использовал новую цепочку заражения, портированную на Mac OS, которая содержала защищенный паролем ZIP-файл с вредоносной программой для Mac первой стадии и инструкциями. Mach-O был найден в ZIP-архиве, маскируясь под VPN-решение RUSI и графический интерфейс общего доступа, и при инициализации вредоносная программа выполняет файл сценария Apple для загрузки файла с сайта library-store.camdvr.org. NokNok, bash-скрипт, был найден для создания бэкдора в системе.

Компания Proofpoint сотрудничала с ключевыми партнерами по оборонительному сообществу для пресечения усилий TA453 и высоко оценила аналитическую помощь от Dropbox и HSBC Cyber Intelligence and Threat Analysis в ходе расследования. По результатам расследования компания Proofpoint с высокой степенью уверенности отнесла эту кампанию и это вредоносное ПО к TA453, основываясь как на прямом сходстве кода, так и на сходстве общей тактики, методов и процедур кампании.

В настоящее время Proofpoint считает, что TA453 пересекается с Mint Sandstorm компании Microsoft (ранее PHOSPHORUS) и примерно эквивалентен APT42 компании Mandiant и Yellow Garuda компании PWC, которые в целом можно считать "Очаровательным котенком". Более того, по оценке Proofpoint, TA453 действует в поддержку Корпуса стражей исламской революции (КСИР), в частности разведывательной организации КСИР (IRGC-IO).

Чтобы минимизировать помехи от охотников за угрозами, TA453 продолжает придерживаться мультиоблачного подхода, используя Google Scripts, Dropbox и CleverApps. Поскольку TA453 продолжает использовать легальные облачные сервисы, Proofpoint рекомендует охотиться за угрозами на предмет наличия в сетевом трафике соответствующих сетевых сигнатур Emerging Threats INFO.

#ParsedReport #CompletenessLow
06-07-2023

Underground Team Ransomware Demands Nearly $3 Million

https://blog.cyble.com/2023/07/05/underground-team-ransomware-demands-nearly-3-million

Report completeness: Low

Threats:
Underground_team_ransomware

Victims:
Unknown

Industry:
Financial

TTPs:
Tactics: 4
Technics: 7

IOCs:
Command: 1
File: 3
Registry: 1
Hash: 1

Soft:
mssql

Algorithms:
sha1, sha256

Win API:
ShellExecuteW, FindFirstVolumeW, GetVolumePathNamesForVolumeNameW, GetVolumeInformationW, FindNextVolumeW, FindFirstFileW, FindNextFileW

Win Services:
MSSQLSERVER

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Появление вымогательского ПО Underground Team вызывает беспокойство, поскольку оно представляет собой новый вид вымогательского ПО и нацелено на конкретных жертв. Важно сохранять бдительность и быть в курсе последних новостей кибербезопасности, чтобы обеспечить защиту от этих вредоносных угроз.
-----

Появление программы-вымогателя Underground Team вызывает беспокойство, поскольку она представляет собой новый вид вымогательского ПО. CRIL идентифицировал эту программу, которая представляет собой 64-битное приложение Microsoft Visual C/C++ с графическим интерфейсом, идентифицированное по хэш-значению SHA256 d4a847fa9c4c7130a852a2e197b205493170a8b44426d9ec481fc4b285a92666. Программа-вымогатель использует API-функцию ShellExecuteW() для выполнения команд и вредоносных действий. Он помещает записку с требованием выкупа под названием !!readme!!!.txt в несколько папок в системе и выборочно исключает определенные имена и расширения файлов из процесса шифрования.

Записка с требованием выкупа в программе Underground Team ransomware содержит такие новаторские элементы, как гарантия честной и конфиденциальной сделки в короткие сроки, а также представление информации об уязвимостях сети и рекомендации по информационной безопасности. Это указывает на то, что атака могла быть адаптирована и направлена на конкретные цели, намекая на целенаправленную атаку. Он также создает CMD-файл с именем temp.cmd и выполняет его, чтобы уничтожить любые доказательства своей деятельности и скрыть выполнение вредоносных действий на целевой системе. Кроме того, в записке о выкупе содержатся инструкции для жертв связаться с TAs для получения помощи в восстановлении зашифрованных файлов или для выплаты выкупа.

В настоящее время конкретные жертвы, на которых нацелена эта программа-вымогатель, неизвестны, а случаев утечки данных, связанных с этой программой-вымогателем, на момент написания статьи не было. Несмотря на это, киберпреступники все чаще шифруют файлы и допускают утечку данных, что позволяет им легко вымогать деньги у жертв. Поэтому важно скептически относиться к любым заявлениям о помощи, поскольку ТП в первую очередь руководствуются финансовой выгодой, и их истинные намерения могут не совпадать с интересами жертв.

CRIL активно следит за появлением кампаний по борьбе с вымогательством, чтобы читатели были в курсе последних событий. Обнаружение вымогательской программы Underground Team подчеркивает необходимость бдительности при столкновении с такими угрозами и растущую изощренность атак вымогателей. Важно сохранять бдительность и быть в курсе последних новостей кибербезопасности, чтобы обеспечить защиту от этих вредоносных угроз.

#ParsedReport #CompletenessMedium
06-07-2023

ARCrypt Ransomware Evolves with Multiple TOR Communication Channels

https://blog.cyble.com/2023/07/06/arcrypt-ransomware-evolves-with-multiple-tor-communication-channels

Report completeness: Medium

Threats:
Arcrypt
Arcrypter
Chilelocker
Avoslocker

Victims:
Windows and linux operating systems

Industry:
Financial

Geo:
Chile

TTPs:
Tactics: 5
Technics: 9

IOCs:
Command: 1
File: 24
Registry: 1
Hash: 5

Soft:
defwatch, onenote, outlook, thebat, wordpad

Crypto:
monero, bitcoin

Algorithms:
sha1, sha256

Win API:
RegCreateKeyA, RegSetValueExA

Win Services:
QBFCService, BackupExecAgentBrowser, YooIT, QBCFMonitorService, BackupExecAgentAccelerator, YooBackup, PDVFSService, AcronisAgent, VSNAPVSS, QuickBooks, have more...

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: В последней версии программы ARCrypt ransomware появилась заметка о выкупе и новые методы, такие как выплата выкупа в Monero, отказ от вымогательства через сайты утечки информации и использование нового средства связи для каждой жертвы, чтобы сохранить анонимность.
-----

В августе 2022 года появилась программа ARCrypter ransomware, также известная как ChileLocker, которая быстро привлекла к себе внимание после атаки на предприятие в Чили. Этот вариант ransomware нацелен на операционные системы Windows и Linux и способен переименовывать имена зашифрованных файлов с расширением .crYpt вместо расширения .crypt. Эта обновленная версия также включает новую записку о выкупе, в которой говорится, что угрожающие лица (TA), стоящие за этой программой-выкупом, предлагают жертвам скидку, если оплата будет произведена в Monero.

Анализ различных двоичных файлов ARCrypt ransomware показал, что каждая записка о выкупе направляет жертв на различные сайты Tor для связи. Эти сайты являются зеркальными, имеют одинаковый пользовательский интерфейс, но разные URL-адреса. Такой подход позволяет жертвам получить доступ к альтернативному сайту, если один из них становится недоступным. После выполнения программа копирует себя в каталог %TEMP% и присваивает в качестве имени файла случайную шестисимвольную буквенно-цифровую строку. Затем программа запускается из этого каталога и удаляет исходный двоичный файл ransomware.

ARCrypt ransomware также может завершать различные процессы и отключать определенные службы, в том числе связанные с защитой от вредоносного ПО, резервным копированием и восстановлением. Это делается для освобождения системных ресурсов и ускорения процесса шифрования, а также для того, чтобы избежать обнаружения. Программа-вымогатель использует API RegCreateKeyA для открытия ключей реестра в разделе HKEY_LOCAL_MACHINE и API RegSetValueExA для установки значений для определенного ключа, например legalnoticecaption и legalnoticetext.

В последней версии ARCrypt ransomware появилось отдельное уведомление о выкупе, которое имеет лишь некоторые сходства со старым уведомлением о выкупе. Похоже, что TA, стоящая за ARCrypt ransomware, пытается сохранить анонимность, обновляя двоичный файл ransomware и применяя определенные методы, например, предпочитая выплачивать выкуп в Monero, не вымогая деньги у жертв через сайты утечки информации и используя новое средство связи для каждой жертвы.

#ParsedReport #CompletenessLow
06-07-2023

Operation Brainleeches: Malicious npm packages fuel supply chain and phishing attacks

https://www.reversinglabs.com/blog/operation-brainleeches-malicious-npm-packages-fuel-supply-chain-and-phishing-attacks

Report completeness: Low

Actors/Campaigns:
Brainleeches
Iconburst

Threats:
Supply_chain_technique
Credential_harvesting_technique
Typosquatting_technique

Victims:
Microsoft 365 users

Industry:
Petroleum

ChatGPT TTPs:
do not use without manual check
T1078, T1134, T1136, T1497, T1566.001, T1566.002, T1566.003, T1566.004, T1566.005

IOCs:
File: 7
Url: 1
IP: 1
Hash: 14

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
code: 2, schema: 1, windows: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания ReversingLabs обнаружила вредоносную кампанию под названием Operation Brainleeches, которая была размещена в репозитории открытого исходного кода npm и была предназначена для внедрения скриптов сбора учетных данных в приложения. Эта вредоносная кампания подчеркивает необходимость для организаций быть в курсе вредоносных пакетов в платформах с открытым исходным кодом и тщательно проверять код, на который они полагаются, чтобы обнаружить потенциальные вредоносные полезные нагрузки.
-----

Компания ReversingLabs недавно обнаружила вредоносную кампанию под названием Operation Brainleeches, которая была опубликована в открытом репозитории npm. Эта кампания состояла из более чем десятка вредоносных пакетов, которые ReversingLabs сгруппировала в два транша по их назначению. Первый пакет использовался исключительно для размещения файлов, используемых в широко распространенных фишинговых кампаниях, а второй пакет был предназначен для внедрения скриптов сбора учетных данных в приложения.

Вредоносные пакеты были размещены на npm в период с 11 мая по 13 июня и были загружены в общей сложности около 1000 раз. Они имитируют легитимные модули npm, в частности jquery, который еженедельно загружается почти 7 миллионов раз. Пакеты содержат обфусцированный код и зашифрованные переменные и предназначены для компрометации цепочки поставок установленного приложения.

Вредоносные вложения электронной почты содержали файл jquery.js в паре с фишинговыми письмами. При открытии jquery.js извлекает jquery.min.js из сети доставки контента (CDN) jsDelivr и записывает его содержимое в динамически создаваемый документ. Затем этот документ получает файл DEMO.txt также из CDN jsDelivr и записывает его содержимое в тот же документ. Файл DEMO.txt содержит HTML-код, имитирующий вход на сайт Microsoft.com, а также URL-адрес удаленного сервера hxxp://ourwhite.brainleeches.xyz, на который отправляются собранные учетные данные из формы.

Вредоносная кампания показывает, какую роль платформы и модули с открытым исходным кодом могут играть в поддержке как целенаправленных взломов, так и атак с низким уровнем квалификации, таких как фишинговые кампании по электронной почте. Она подчеркивает необходимость для организаций быть начеку и обращать внимание на признаки того, что пакеты с открытым исходным кодом могут быть вредоносными или скомпрометированными, такие как подозрительное именование и версионирование пакетов, новые пакеты с неясной историей, меньшее, чем ожидалось, количество загрузок и зависимостей, и многое другое. Организации-разработчики должны тщательно изучать особенности и поведение открытого кода, кода сторонних разработчиков и коммерческого кода, на который они полагаются, чтобы отслеживать зависимости и обнаруживать потенциальные вредоносные полезные нагрузки. Технология ReversingLabs может помочь организациям обнаружить вредоносное ПО и защитить от атак на цепочки поставок.

#ParsedReport #CompletenessLow
05-07-2023

WISE REMOTE : Stealer Unleashed Unveiling Its Multifaceted Malicious Arsenal

https://www.cyfirma.com/outofband/wise-remote-stealer-unleashed-unveiling-its-multifaceted-malicious-arsenal

Report completeness: Low

Threats:
Wise_remote_stealer

Victims:
Individuals, enterprises, financial institutions, and critical infrastructure

Industry:
Transport, Financial, Energy

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1486, T1090, T1497, T1105, T1514, T1036, T1098, T1056, T1518, T1086, have more...

IOCs:
Domain: 1
IP: 1

Soft:
telegram, discord

Languages:
python

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: WISE REMOTE Stealer - это сложный похититель информации и троян удаленного доступа (RAT), представляющий серьезную угрозу для частных лиц и организаций. Он обладает расширенными возможностями, которые позволяют ему компрометировать и контролировать целевые системы, что приводит к краже личных данных, финансовым потерям, ущербу репутации и несанкционированному доступу к взломанным системам. Организациям необходимо внедрить надежные меры кибербезопасности для защиты своих систем и данных от этой серьезной угрозы.
-----

WISE REMOTE Stealer - это продвинутый похититель информации и троянец удаленного доступа (RAT), продвигаемый на подпольных форумах, таких как HF и cracked.io.

Он написан на языке Go и предназначен для операционных систем Windows 8, 10 и 11.

Он обладает расширенными возможностями для сбора подробной информации, установления удаленного доступа, выполнения команд, загрузки и исполнения вредоносных файлов, кражи криптовалютных кошельков, захвата скриншотов и манипулирования системными журналами и записями.

Он представляет собой серьезную угрозу в виде компрометации данных, эксплуатации систем, распространения вредоносной полезной нагрузки и создания ботнетов.

Организациям следует внедрить надежные меры кибербезопасности, чтобы защитить свои системы и данные от этой серьезной угрозы.