#ParsedReport #ExtractedSchema

Classified images:
code: 2, schema: 1, windows: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания ReversingLabs обнаружила вредоносную кампанию под названием Operation Brainleeches, которая была размещена в репозитории открытого исходного кода npm и была предназначена для внедрения скриптов сбора учетных данных в приложения. Эта вредоносная кампания подчеркивает необходимость для организаций быть в курсе вредоносных пакетов в платформах с открытым исходным кодом и тщательно проверять код, на который они полагаются, чтобы обнаружить потенциальные вредоносные полезные нагрузки.
-----

Компания ReversingLabs недавно обнаружила вредоносную кампанию под названием Operation Brainleeches, которая была опубликована в открытом репозитории npm. Эта кампания состояла из более чем десятка вредоносных пакетов, которые ReversingLabs сгруппировала в два транша по их назначению. Первый пакет использовался исключительно для размещения файлов, используемых в широко распространенных фишинговых кампаниях, а второй пакет был предназначен для внедрения скриптов сбора учетных данных в приложения.

Вредоносные пакеты были размещены на npm в период с 11 мая по 13 июня и были загружены в общей сложности около 1000 раз. Они имитируют легитимные модули npm, в частности jquery, который еженедельно загружается почти 7 миллионов раз. Пакеты содержат обфусцированный код и зашифрованные переменные и предназначены для компрометации цепочки поставок установленного приложения.

Вредоносные вложения электронной почты содержали файл jquery.js в паре с фишинговыми письмами. При открытии jquery.js извлекает jquery.min.js из сети доставки контента (CDN) jsDelivr и записывает его содержимое в динамически создаваемый документ. Затем этот документ получает файл DEMO.txt также из CDN jsDelivr и записывает его содержимое в тот же документ. Файл DEMO.txt содержит HTML-код, имитирующий вход на сайт Microsoft.com, а также URL-адрес удаленного сервера hxxp://ourwhite.brainleeches.xyz, на который отправляются собранные учетные данные из формы.

Вредоносная кампания показывает, какую роль платформы и модули с открытым исходным кодом могут играть в поддержке как целенаправленных взломов, так и атак с низким уровнем квалификации, таких как фишинговые кампании по электронной почте. Она подчеркивает необходимость для организаций быть начеку и обращать внимание на признаки того, что пакеты с открытым исходным кодом могут быть вредоносными или скомпрометированными, такие как подозрительное именование и версионирование пакетов, новые пакеты с неясной историей, меньшее, чем ожидалось, количество загрузок и зависимостей, и многое другое. Организации-разработчики должны тщательно изучать особенности и поведение открытого кода, кода сторонних разработчиков и коммерческого кода, на который они полагаются, чтобы отслеживать зависимости и обнаруживать потенциальные вредоносные полезные нагрузки. Технология ReversingLabs может помочь организациям обнаружить вредоносное ПО и защитить от атак на цепочки поставок.

#ParsedReport #CompletenessLow
05-07-2023

WISE REMOTE : Stealer Unleashed Unveiling Its Multifaceted Malicious Arsenal

https://www.cyfirma.com/outofband/wise-remote-stealer-unleashed-unveiling-its-multifaceted-malicious-arsenal

Report completeness: Low

Threats:
Wise_remote_stealer

Victims:
Individuals, enterprises, financial institutions, and critical infrastructure

Industry:
Transport, Financial, Energy

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1486, T1090, T1497, T1105, T1514, T1036, T1098, T1056, T1518, T1086, have more...

IOCs:
Domain: 1
IP: 1

Soft:
telegram, discord

Languages:
python

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: WISE REMOTE Stealer - это сложный похититель информации и троян удаленного доступа (RAT), представляющий серьезную угрозу для частных лиц и организаций. Он обладает расширенными возможностями, которые позволяют ему компрометировать и контролировать целевые системы, что приводит к краже личных данных, финансовым потерям, ущербу репутации и несанкционированному доступу к взломанным системам. Организациям необходимо внедрить надежные меры кибербезопасности для защиты своих систем и данных от этой серьезной угрозы.
-----

WISE REMOTE Stealer - это продвинутый похититель информации и троянец удаленного доступа (RAT), продвигаемый на подпольных форумах, таких как HF и cracked.io.

Он написан на языке Go и предназначен для операционных систем Windows 8, 10 и 11.

Он обладает расширенными возможностями для сбора подробной информации, установления удаленного доступа, выполнения команд, загрузки и исполнения вредоносных файлов, кражи криптовалютных кошельков, захвата скриншотов и манипулирования системными журналами и записями.

Он представляет собой серьезную угрозу в виде компрометации данных, эксплуатации систем, распространения вредоносной полезной нагрузки и создания ботнетов.

Организациям следует внедрить надежные меры кибербезопасности, чтобы защитить свои системы и данные от этой серьезной угрозы.

#ParsedReport #CompletenessMedium
06-07-2023

What s up with Emotet?

https://www.welivesecurity.com/2023/07/06/whats-up-with-emotet

Report completeness: Medium

Actors/Campaigns:
Mummyspider

Threats:
Emotet
Qakbot
Passview_tool
Nltest_tool

Victims:
Individuals, companies and organizations

Industry:
Telco, Financial

Geo:
Africa, Spain, Mexico, Colombia, Indonesia, Japan, Korea, Italy, Thailand, Brasil, Ukraine, Usa

TTPs:
Tactics: 8
Technics: 23

IOCs:
File: 1
Path: 3
Hash: 9
IP: 130

Soft:
google chrome, microsoft word, microsoft excel, onenote, outlook

Algorithms:
ecdh, zip, aes

Win API:
GetTickCount

Languages:
visual_basic

Platforms:
x86, x64

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, schema: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Emotet - это опасное вредоносное ПО, которое активно с 2014 года и эволюционировало, став более сложным для обнаружения и отслеживания. Он неактивен с апреля 2023 года, но важно сохранять бдительность на случай его повторного появления.
-----

С момента своего первого появления в 2014 году Emotet стал одной из самых распространенных и опасных вредоносных угроз во всем мире. В 2021 году он был уничтожен в результате многонациональных усилий, координируемых Евроюстом и Европолом. Однако вскоре, в ноябре 2021 года, угроза появилась вновь, запустив многочисленные спам-кампании, а также множество новых модулей, обновлений и обфускаций. Ее операторы приложили немало усилий, чтобы избежать обнаружения и мониторинга, и некоторые слухи говорят о том, что одна или обе эпохи ботнета могли быть проданы в январе 2023 года.

С момента своего появления операторы Emotet использовали в качестве основного вектора атаки вредоносные документы Microsoft Word и Excel со встроенными макросами VBA. В июле 2022 года компания Microsoft отключила макросы VBA в документах, полученных из Интернета, что привело к резкому снижению числа компрометаций Emotet. С тех пор ботнет протестировал несколько различных путей проникновения и методов социальной инженерии, таких как документы Word, замаскированные под счета, файлы OneNote со встроенными VBScripts и документ Word со встроенным вредоносным макросом VBA.

Чтобы оставаться прибыльной и распространенной, компания Mealybug, создавшая Emotet, внедрила множество новых модулей. Они включают защитные механизмы, более эффективное распространение вредоносной программы и модули для кражи информации, такие как Thunderbird Email Stealer и Thunderbird Contact Stealer, MailPassView Stealer и Google Chrome Credit Card Stealer. Кроме того, Emotet перешел на криптографию Elliptic curve для своей асимметричной схемы и добавил обфускации, методы рандомизации и 64-битные архитектуры в свое вредоносное ПО.

Чтобы отслеживать и отличать реальных жертв от исследователей или песочниц, Mealybug также разработал два новых модуля: Systeminfo и Hardwareinfo. Первый собирает системную информацию, такую как версия ОС, установленные приложения и учетные записи пользователей, а второй - аппаратную информацию, такую как тип процессора, оперативная память и объем накопителя.

С начала апреля 2023 года Emotet неактивен, скорее всего, из-за того, что не смог найти новый эффективный вектор атаки. Пока неясно, управляет ли ботнетом та же группа или кто-то другой. Несмотря на это, Emotet снова и снова демонстрирует свою эффективность и устойчивость, поэтому необходимо следить за его развитием и быть готовым к его повторному появлению.

#ParsedReport #CompletenessHigh
06-07-2023

Increased Truebot Activity Infects U.S. and Canada Based Networks

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-187a

Report completeness: High

Actors/Campaigns:
Fin11

Threats:
Truebot
Clop
Flawedgrace_rat
Beacon
Cobalt_strike
Junk_code_technique
Raspberry_robin
Icedid
Bumblebee
Passthehash_technique
Credential_dumping_technique
Teleport_tool
Lumma_stealer
Secretsdump_tool
Dll_sideloading_technique
Process_injection_technique
Tnega
Carbon

Victims:
Organizations in the us and canada

Industry:
Government

Geo:
Russia, Canadian, Panama, Canada

CVEs:
CVE-2022-3199 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- google chrome (<105.0.5195.125)
- fedoraproject fedora (37)

CVE-2022-31199 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- netwrix auditor (<10.5)


TTPs:
Tactics: 2
Technics: 37

IOCs:
File: 10
IP: 11
Url: 14
Domain: 26
Path: 2
Hash: 46

Soft:
google chrome, remote desktop services, windows powershell, windows registry, psexec, local security authority, active directory

Algorithms:
sha1, base64, aes, sha256

Win API:
GetNativeSystemInfo, RtlGetVersion

YARA: Found

Links:
https://github.com/cisagov/Decider/
https://github.com/The-DFIR-Report/Yara-Rules/blob/main/21619/21619.yar

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: CISA, ФБР, MS-ISAC и CCCS выпустили рекомендацию по кибербезопасности в ответ на то, что субъекты киберугроз используют новые выявленные варианты вредоносного ПО Truebot против организаций в США и Канаде. Организациям следует использовать сигнатуры обнаружения и правила YARA, приведенные в рекомендации, убедиться, что все исправления поставщиков обновлены, и отслеживать подозрительную активность в своих системах.
-----

CISA, ФБР, MS-ISAC и CCCS выпустили консультацию по кибербезопасности в ответ на то, что субъекты киберугроз используют новые выявленные варианты вредоносного ПО Truebot против организаций в США и Канаде. Основным способом доставки Truebot являются вредоносные фишинговые письма, которые используют CVE-2022-31199 в программном обеспечении Netwrix Auditor. Truebot используется для утечки данных с целью получения финансовой выгоды и способен внедрять маячки в память, устанавливать командно-контрольное соединение и загружать дополнительные вредоносные модули.

Truebot способен проверить версию ОС системы, архитектуру процессора, перечислить запущенные процессы, собрать конфиденциальные данные локального узла, обнаружить протоколы безопасности программного обеспечения и метрики системного времени. Он создает тринадцатисимвольный глобально уникальный идентификатор (GUID) и отправляет имя компьютера и домена, а также GUID на жестко закодированный URL в POST-запросе для установления C2-соединения. Это соединение позволяет Truebot получать дополнительную полезную нагрузку, самовоспроизводиться и удалять файлы. Truebot был замечен в распространении FlawedGrace через фишинговые кампании, использовании инструмента удаленного доступа Cobalt Strike и развертывании пользовательского инструмента эксфильтрации данных под названием Teleport.

Для защиты от вредоносного ПО Truebot организациям следует использовать сигнатуры обнаружения и правила YARA, приведенные в рекомендации. Они также должны убедиться, что все исправления поставщиков обновлены, и следить за подозрительной активностью в своих системах. Наконец, организациям следует сообщать о любой подозрительной активности в CISA или ФБР.

#rstcloud
Прилетело письмо:
You now have access to the GPT-4 API.

Будем тестить и переводить генератор summary на 4-ку.

#rstcloud
GPT-4 также часто ошибается при определении номера TTP по описанию, как и 3.5. Без дообучения 4-ка тоже не фонтан в этой задаче.

#ParsedReport #CompletenessMedium
07-07-2023

Tailing Big Head Ransomware s Variants, Tactics, and Impact

https://www.trendmicro.com/en_us/research/23/g/tailing-big-head-ransomware-variants-tactics-and-impact.html

Report completeness: Medium

Threats:
Big_head_ransomware
Worldwind
Neshta

Geo:
Ukrainian, Georgian, Russian, Belarusian

IOCs:
Hash: 3
File: 13
Command: 3
Url: 2
Path: 2

Soft:
telegram, discord, bcdedit, sqlagent, sqlbrowser, dbsnmp, directx

Crypto:
bitcoin

Algorithms:
cbc, sha256, base64, exhibit, rsa-2048, aes, zip

Functions:
CreateMutex, SelfDelete

Win API:
ShowWindow, LockFile

Languages:
php, python, java

Platforms:
x86

Links:
https://github.com/Leecher21/WorldWind-Stealer

#ParsedReport #ExtractedSchema

Classified images:
windows: 14, schema: 3, code: 14, dump: 2

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Big Head ransomware - это новая вредоносная программа, появившаяся в мае 2021 года и способная причинить серьезный вред. Она распространяется через поддельные обновления Windows и поддельные установщики Word, а для связи с жертвами использует электронную почту и Telegram. Важно отслеживать и обнаруживать эту вредоносную программу, чтобы предотвратить возможный вред.
-----

Big Head ransomware - это новое семейство вредоносных программ, появившееся в мае 2021 года. Оно распространяется через поддельные обновления Windows и поддельные установщики Word посредством малвертисмента. Ransomware представляет собой .NET-компилированный двоичный файл, который добавляет расширение .poop к зашифрованным файлам и бросает записку с требованием выкупа на рабочий стол, в подкаталоги и папку %appdata%. Она использует шифрование AES с режимом электронной кодовой книги ECB, удаляет теневые копии и резервные копии, а также отключает возможность восстановления.

Вредоносная программа также содержит функции stealer и info-stealer, которые собирают данные жертвы, такие как ID, имена пользователей, пароли и другую важную информацию. Она создает ключ реестра автозапуска для обеспечения устойчивости и запускает Telegram-бота, ответственного за установление связи с агентом угрозы. Вредоносная программа проверяет наличие мьютекса с именем 8bikfjjD4JpkkAqrz с помощью CreateMutex и завершает свою работу, если язык системы пользователя соответствует кодам стран: русский, белорусский, украинский, казахский, киргизский, армянский, грузинский, татарский и узбекский.

Стоит отметить, что разработчик ransomware использует как электронную почту, так и Telegram для связи со своими жертвами. Данные свидетельствуют о том, что киберпреступники действуют с 2022 года, как видно из истории кошелька Bitcoin. Это означает, что субъекты угроз не являются новичками в этом виде угроз. Исследователи и аналитики в области безопасности имеют преимущество в обнаружении программы Big Head ransomware до начала атак или заражений. Эта программа-вымогатель очень опасна благодаря своим разнообразным функциональным возможностям, поэтому важно отслеживать и обнаруживать ее, чтобы предотвратить любой потенциальный вред.

#ParsedReport #CompletenessMedium
06-07-2023

Kimsuky Threat Group Exploting Chrome Remote Desktop

https://asec.ahnlab.com/en/55145

Report completeness: Medium

Actors/Campaigns:
Kimsuky

Threats:
Meterpreter_tool
Appleseed
Mimikatz_tool
Tinynuke
Tightvnc_tool
Akdoor
Trojan/win.generic.r577010

Victims:
Korean users

Industry:
Energy

Geo:
Korean, Korea

IOCs:
Command: 4
Path: 9
File: 7
Url: 3
Hash: 5

Soft:
chrome, google chrome, microsoft edge, remote desktop services

Platforms:
x64, x86

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: APT-группа Kimsuky, поддерживаемая Северной Кореей, действует с 2013 года и в настоящее время нацелена на другие страны, кроме Южной Кореи. Группа эксплуатирует Chrome Remote Desktop и использует вредоносное ПО AppleSeed, infostealers, RDP Patcher и Ngrok для кражи учетных данных и информации. Они также используют службу удаленного рабочего стола RDP в Windows и Google Chrome.
-----

APT-группа Kimsuky, поддерживаемая Северной Кореей, действует с 2013 года и в настоящее время нацелена на другие страны, кроме Южной Кореи. Центр экстренного реагирования AhnLab Security Emergency response Center (ASEC) недавно обнаружил угрожающую группу Kimsuky, эксплуатирующую Chrome Remote Desktop. В процессе распространения вредоносного ПО группа в основном использует файлы документов HWP и MS Office или файлы CHM, а также скрипты WSF или JS с файлами, замаскированными под файлы документов.

Вредоносное ПО, установленное APT-группой Kimsuky, - AppleSeed, вредоносная программа типа бэкдор, обнаруженная с 2019 года. Он поддерживает различные функции, такие как выполнение команд с C&C-сервера, установка дополнительного вредоносного ПО, кейлоггинг, захват скриншотов и кража файлов. Используются две версии AppleSeed, обе из которых используют протокол HTTP для связи с C&C-сервером. После установки AppleSeed группа обычно устанавливает Infostealers, RDP Patcher и Ngrok.

Infostealers используется для сбора учетных данных из браузеров Google Chrome, Microsoft Edge и Naver Whale. RDP Patcher - тип вредоносного ПО, специализирующийся на исправлении памяти для нескольких сеансов RDP. Ngrok - программа туннелирования, которая открывает доступ к системам в среде NAT извне.

APT-группа Kimsuky постоянно проводит фишинговые атаки на корейских пользователей, и известно, что они используют службу удаленного рабочего стола RDP, включенную в Windows по умолчанию. Недавно были выявлены случаи использования функции удаленного рабочего стола в Google Chrome.

#ParsedReport #CompletenessHigh
07-07-2023

The TOITOIN Trojan: Analyzing a New Multi-Stage Attack Targeting LATAM Region

https://www.zscaler.com/blogs/security-research/toitoin-trojan-analyzing-new-multi-stage-attack-targeting-latam-region

Report completeness: High

Threats:
Toitoin
Krita_loader
Uac_bypass_technique
Process_hollowing_technique
Dll_injection_technique
Process_injection_technique
Dll_sideloading_technique

Victims:
A prominent investment banking company in latin america

Industry:
Education, Financial

Geo:
America, Latam, American

TTPs:
Tactics: 1
Technics: 10

IOCs:
File: 12
Url: 11
Domain: 3
Path: 3
Hash: 10

Soft:
curl, windows search, winlogon, process explorer, internet explorer, chrome, opera, mozilla firefox, microsoft edge

Algorithms:
base64, xor, zip, exhibit

Functions:
getenv, OpenMutexA

Win API:
GetComputerNameA, InternetOpenUrlA, InternetReadFile, LoadLibraryA, GetProcAddress, OpenProcess, VirtualAllocEx, WriteProcessMemory, CreateRemoteThread, GetEnvironmentVariableW, have more...

Languages:
php

Platforms:
x64

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Кампания вредоносного ПО TOITOIN является передовой постоянной угрозой, направленной на предприятия в регионе LATAM.
-----

Вредоносная кампания TOITOIN - это современная постоянная угроза, направленная на предприятия в регионе Латинской Америки (LATAM). В атаке используется многоступенчатая цепочка заражения, включающая обманчивые фишинговые письма, специально созданные модули и различные техники уклонения. Она начинается с модуля-загрузчика, который загружает дальнейшие стадии вредоносного ПО, обходит песочницы путем перезагрузки системы и сохраняет устойчивость с помощью LNK-файлов. Затем DLL Krita Loader загружается через подписанный двоичный файл, который загружает модуль InjectorDLL. Этот модуль внедряет ElevateInjectorDLL в удаленные процессы, такие как explorer.exe. ElevateInjectorDLL обходит "песочницы" и выполняет углубление процесса для внедрения троянца TOITOIN или модуля BypassUAC в зависимости от привилегий процесса. Модуль BypassUAC использует COM elevation Moniker для обхода User Account Control и выполнения Krita Loader с привилегиями администратора.

Троянец TOITOIN использует пользовательскую XOR-дешифровку для декодирования своего конфигурационного файла, содержащего URL-адрес командно-контрольного сервера. Он передает на C&C-сервер закодированную системную информацию, сведения об установленных браузерах и модуле защиты Topaz OFD. В отсутствие конфигурационного файла информация отправляется через POST-запрос с использованием curl.

#ParsedReport #CompletenessMedium
07-07-2023

. Miner mining Trojan activity analysis

https://www.antiy.cn/research/notice&report/research_report/aminer_Analysis.html

Report completeness: Medium

Threats:
Netstat_tool
Shellbot
Beacon

Victims:
Linux platform

TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 5
IP: 4
Hash: 5
Url: 5

Soft:
redis, crontab, curl, sudo

Crypto:
monero

Languages:
perl

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Antiy CERT выявил партию активных образцов троянских коней для майнинга под названием "aminer" и разработал карту ATT&CK для детализации полного процесса запуска злоумышленниками троянских программ для майнинга.
-----

Недавно Antiy CERT выявил партию активных образцов троянского коня для майнинга, который он назвал "aminer", по имени файла майнинга, загружаемого в его начальном сценарии. Было проверено, что Linux-версия системы Intelligent Endpoint Protection System (IEP) компании Antiy может обнаружить и уничтожить майнера.

Начальный сценарий атаки троянца miner состоит из инструкций по записи на указанные адреса DNS-серверов, установке инструментов и библиотек, загрузке и выполнению файла install.tgz и загрузке файла miner.gz. Install.tgz содержит вредоносные файлы с теми же именами, что и системные файлы, такие как top, который добавляет открытые ключи SSH, заменяет top, netstat и crontab, выполняет irc-клиент для создания бэкдора и фильтрует сетевые соединения с номерами портов 20 и 43. ns2.jpg - это ShellBot, написанный на языке Perl, который подключается к irc-серверу (irc.tung-shu.cf), номер порта - 20, а канал - #ROOT. Сжатый пакет Miner.gz содержит программы майнинга для двух архитектур операционных систем. Стартовый скрипт создает службу для сохранения и запускает программу майнинга для выполнения майнинга. Адреса DNS-серверов, используемых для атаки, включают "114.114.114.114", "114.114.115.115", "8.8.8.8", "1.1.1.1".

Вредоносная учетная запись позволяет пользователю daemon выполнять любую команду без ввода пароля. Операционную систему необходимо перезагрузить, поскольку вредоносный код выполняется в памяти, но не приземлился. Поскольку троянец-майнер заменяет top, netstat и другие файлы в операционной системе, вредоносно замененные файлы будут удалены в плане очистки, и при необходимости эти команды нужно будет установить заново.

Antiy CERT разработал карту ATT&CK, детализирующую полный процесс запуска злоумышленниками майнинговых троянцев. Согласно карте, сначала злоумышленник использует SSH и перебор слабых паролей Redis для атаки на платформу Linux, затем загружает вредоносные файлы с именами, похожими на системные файлы, такие как top, для добавления открытых ключей SSH и замены top, netstat и crontab. После этого используется IRC-клиент для создания бэкдора, а сетевые соединения с номерами портов 20 и 43 фильтруются. Создается вредоносная учетная запись, позволяющая пользователю daemon выполнять любые команды без ввода пароля, после чего загружаются и запускаются программы для майнинга.

#ParsedReport #CompletenessLow
07-07-2023

. Analysis of Clipboard Hijacker Propagated Through Pirated System Mirror Resources

https://www.antiy.cn/research/notice&report/research_report/Torrent_Analysis.html

Report completeness: Low

Threats:
Beacon
Process_injection_technique

TTPs:
Tactics: 2
Technics: 0

IOCs:
File: 4
Path: 5
Coin: 3
Hash: 3