#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что был обнаружен новый вариант вируса Shiz, нацеленный на иностранные группы пользователей и способный красть конфиденциальную информацию. Вирус применяет контрмеры, чтобы избежать обнаружения антивирусным программным обеспечением, и использует алгоритм генерации доменных имен для генерации динамических доменных имен, что затрудняет системам защиты блокирование связи с его сервером управления. Вредоносная программа внедряет вредоносные модули в системные процессы, скрываясь внутри различных процессов и выполняя вредоносные действия, такие как перехват DNS и кража данных.
-----

Недавно система анализа угроз Tinder выявила новый вариант вируса Shiz, который быстро распространяется. Этот конкретный вариант нацелен на иностранные группы пользователей и способен красть конфиденциальную информацию с зараженных компьютеров. Кроме того, он может выполнять различные вредоносные операции, включая перехват посещения пользователем веб-сайта антивирусного программного обеспечения и перенаправление его на веб-сайт Google.

При активации вирус Shiz использует контрмеры для обнаружения сред виртуальных машин и антивирусного программного обеспечения. Он использует различные тактики, такие как выполнение шеллкода блоками и методы обфускации, такие как PUSH RET, чтобы затруднить антивирусному программному обеспечению его обнаружение и борьбу с ним. После успешного выполнения вирус внедряет вредоносные модули в системные процессы для выполнения вредоносных действий, таких как кража данных, скриншоты и перехват DNS.

Процесс выполнения вируса включает расшифровку и выполнение шеллкода несколькими последовательными блоками. Каждый блок шифруется после выполнения, а следующий блок расшифровывается и выполняется впоследствии. Основная цель шеллкода - получить внутренние модули из ресурсов, расшифровать их и загрузить в память. Как только модуль выполняет операции инициализации, шелл-код вводится в системные процессы для выполнения.

Примечательной особенностью этого варианта Shiz является использование DGA (алгоритма генерации доменных имен) для генерации динамических доменных имен. Этот механизм позволяет вредоносному ПО обходить системы защиты, полагающиеся на статические черные списки. Традиционным методам защиты, основанным на сигнатурах, может быть сложно оперативно реагировать на динамически генерируемые доменные имена, что дает вредоносному ПО возможность взаимодействовать со своим сервером управления (C&C), даже если некоторые доменные имена занесены в черный список. В ходе анализа не было обнаружено уцелевших серверов C&C.

Вредоносный модуль, внедренный вирусом, может скрываться внутри различных процессов и выполнять вредоносный код. Если он идентифицирует процесс с именем "svchost.exe", он выполняет перехват DNS, подключая функции, связанные с DNS. Это позволяет вредоносному ПО перехватывать сетевой трафик и манипулировать им. Модуль также может загружать файлы подписей и другую конфиденциальную информацию на сервер C&C, одновременно записывая и загружая учетные данные для входа и указанные данные веб-сайта. Функция "HttpSendRequestW" используется в качестве примера в предоставленном фрагменте кода.

#ParsedReport #CompletenessLow
15-01-2024

The Many Faces of Undetected macOS InfoStealers \| KeySteal, Atomic & CherryPie Continue to Adapt

https://www.sentinelone.com/blog/the-many-faces-of-undetected-macos-infostealers-keysteal-atomic-cherrypie-continue-to-adapt

Report completeness: Low

Threats:
Keysteal
Amos_stealer
Meta_stealer
Realst
Applescript
Jaskago

Victims:
Macos users, Enterprise macos users

Geo:
Usa

ChatGPT TTPs:
do not use without manual check
T1027, T1497, TA0006, T1005, T1558, T1003

IOCs:
Hash: 13
Domain: 1
IP: 1

Soft:
macOS, ChatGPT, Gatekeeper, sudo

Platforms:
apple, cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что число инфокрадов, нацеленных на macOS, растет, причем наблюдаются такие варианты, как KeySteal, Atomic Stealer и CherryPie. Несмотря на обновления Apple своей базы данных сигнатур XProtect, этим инфокрадам удалось обойти известные сигнатуры. В статье подробно рассказывается об эволюции этих инфокрадов и их способности избегать обнаружения механизмами статического обнаружения сигнатур. В нем также упоминаются конкретные характеристики и методы распространения каждого infostealer. Клиенты, использующие SentinelOne, упомянуты как защищенные от этих угроз, что подчеркивает текущие проблемы, с которыми сталкиваются пользователи macOS enterprise при работе с эволюционирующими и уклончивыми вариантами вредоносных программ.
-----

Число инфокрадов, нацеленных на macOS, таких как Atomic Stealer, macOS MetaStealer и RealStealer, растет.

Apple знает об этой проблеме и обновила свою базу данных сигнатур XProtect.

Однако несколько инфокрадов нашли способы обойти известные сигнатуры.

Вредоносное ПО KeySteal претерпело значительные изменения с тех пор, как оно было впервые обнаружено в 2021 году, и больше не обнаруживается XProtect.

KeySteal распространяется различными способами и появляется под разными именами и форматами файлов.

Последние версии KeySteal имеют низкие показатели обнаружения и содержат жестко закодированные адреса серверов управления.

Atomic Stealer претерпел изменения, и наблюдаются различные версии вредоносного ПО.

Самые последние версии Atomic Stealer плохо обнаруживаются в VirusTotal и включают логику, предотвращающую обнаружение жертвами, аналитиками и "песочницами".

Первоначальное распространение Atomic Stealer, скорее всего, будет осуществляться через торренты или платформы социальных сетей, ориентированные на игры.

macOS CherryPie, также известный как Gary Stealer или JaskaGo, недавно был добавлен в XProtect, но столкнулся с трудностями при обнаружении на VirusTotal.

CherryPie - это кроссплатформенный похититель, ориентированный как на Windows, так и на macOS и включающий в себя логику антианализа и обнаружения виртуальных машин.

Клиенты, использующие SentinelOne, защищены от KeySteal, Atomic InfoStealer и CherryPie/Garry Stealer.

Эти информационные материалы подчеркивают текущие проблемы, с которыми сталкиваются пользователи macOS enterprise, несмотря на усилия Apple по обновлению своей базы данных сигнатур.

#ParsedReport #CompletenessLow
15-01-2024

Analyzing APT28s OCEANMAP Backdoor & Exploring its C2 Server Artifacts. Analyzing APT28 s OCEANMAP Backdoor & Exploring its C2 Server Artifacts

https://medium.com/@knight0x07/analyzing-apt28s-oceanmap-backdoor-exploring-its-c2-server-artifacts-db2c3cb4556b

Report completeness: Low

Actors/Campaigns:
Fancy_bear (motivation: cyber_espionage)

Threats:
Oceanmap
Taskkill

Victims:
State organizations

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1547.001, T1095, T1083, T1059, T1213, T1114, T1105, T1003, T1059.001, have more...

IOCs:
File: 10
Path: 6
Command: 2

Algorithms:
base64

Functions:
execute, connect, Login, change, normal, ReplaceBytes, change_time, run, create, OCEANMAP, have more...

Win API:
readfile

Languages:
python

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что кибератака на государственные организации в Украине была приписана российской группе кибершпионажа APT28. В атаке использовался новый бэкдор под названием OCEANMAP, целью которого было поддержание постоянства, связь с сервером командования и контроля и выполнение команд. Злоумышленники, стоящие за APT28, активно тестировали бэкдор на своих собственных компьютерах, что свидетельствует об их расширенных возможностях в проведении кибершпионажа.
-----

28 декабря 2023 года Команда реагирования на компьютерные чрезвычайные ситуации в Украине (CERT-UA) опубликовала рекомендацию относительно кибератаки на государственные организации, приписав ее российской группе кибершпионажа APT28, также известной как Fancy Bear. В атаке использовался новый бэкдор под названием OCEANMAP, который был написан на C#. Целью этого бэкдора было поддержание постоянства путем завершения других экземпляров самого себя, удаления определенных двоичных файлов и создания копии двоичного файла. Он установил связь с сервером командования и контроля (C2) по протоколу IMAP на порту 143 с использованием TcpClient. В случае неудачных попыток входа в систему он пробовал разные наборы учетных данных.

Дальнейший анализ показал, что злоумышленники, стоящие за APT28, протестировали бэкдор OCEANMAP на своих собственных компьютерах. Артефакты с сервера C2 показали выходные данные выполнения команд и списки каталогов с конкретными путями в их системах. Кроме того, бэкдор мог удаленно обновлять свою конфигурацию, получая команды с сервера C2. Измененный двоичный файл будет взаимодействовать с обновленным сервером C2 и учетными данными электронной почты, обеспечивая стандартную длину конфигурации во время обновлений.

Для получения команд бэкдор OCEANMAP использовал метод readfile() и подключился к серверу C2 с помощью методов connect() и login(), используя указанные конфигурации сервера и учетных данных. Затем он выполнял поиск по определенным ключевым словам в темах сообщений и извлекал соответствующую команду, закодированную в base64, из тела сообщения. После декодирования и выполнения команд сообщения были удалены. Этот процесс выполнялся в рамках бесконечного цикла, при этом бэкдор переходил в спящий режим на основе значения sleep, указанного в конфигурации.

Таким образом, бэкдор OCEANMAP использовал различные методы для поддержания постоянства, связи с сервером C2 и выполнения команд. Злоумышленники, стоящие за APT28, активно тестировали бэкдор на своих компьютерах, и у бэкдора была возможность удаленно обновлять свою конфигурацию. Эти выводы подчеркивают расширенные возможности и операции APT28 в проведении кибершпионажной деятельности.

#ParsedReport #CompletenessHigh
15-01-2024

Sneaky Azorult Back in Action and Goes Undetected

https://cyble.com/blog/sneaky-azorult-back-in-action-and-goes-undetected

Report completeness: High

Threats:
Azorult

Geo:
Ukrainian, Russian, Asia, Azerbaijani, Belarusian

TTPs:
Tactics: 5
Technics: 6

IOCs:
Command: 4
Path: 2
Url: 9
File: 8
Domain: 1
IP: 1
Hash: 18

Soft:
task scheduler, Hyper-V, Active Directory, Electrum-LTC, Mozilla Firefox, Google Chrome, Microsoft Edge, Opera, Authy, Discord, have more...

Wallets:
electrum, electron_cash, jaxx, guarda_wallet, mymonero, wassabi, blockstreamgreen, bitpay, daedalus, trezor, have more...

Crypto:
ethereum, monero

Algorithms:
xor, sha256, curve25519, zip, base64, sha1, aes, md5

Functions:
EnumDisplayDevices, ShellExecute, checkVal, putBaseCfg, systeminfo, cryptowallets

Win API:
VirtualAlloc, CreateThread, WaitForSingleObject, GetUserDefaultLangID, CryptGenRandom

Languages:
javascript, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 5, code: 12, dump: 5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что вредоносная программа Azorult представляет собой угрозу кражи информации, которая в настоящее время развертывается в рамках текущей кампании. Вредоносная программа использует запутанные сценарии PowerShell и выполнение на основе памяти, чтобы избежать обнаружения. Он может служить загрузчиком для других семейств вредоносных программ и широко используется в фишинговых кампаниях по электронной почте. Вредоносное ПО нацелено на конфиденциальные данные, включая историю посещенных страниц, учетные данные для входа, файлы cookie и информацию о криптовалюте. Оно также захватывает скриншоты зараженной системы и отправляет собранные артефакты на удаленный сервер. Доступность вредоносного ПО на подпольных форумах подчеркивает постоянную опасность, которую оно представляет для скомпрометированных систем.
-----

Вредоносная программа Azorult - это угроза кражи информации, впервые выявленная в 2016 году.

Он собирает такие данные, как история посещенных страниц, учетные данные для входа в систему, файлы cookie и сведения о криптовалюте.

Azorult может служить загрузчиком для других семейств вредоносных программ.

Продолжается кампания, нацеленная на ничего не подозревающих пользователей.

Кампания начинается с zip-файла, содержащего вредоносный ярлык, замаскированный под PDF-документ.

Различные этапы включают запутанные сценарии PowerShell, пакетные файлы, удаленные серверы и внедрение шелл-кода.

Все действия выполняются в памяти компьютера, чтобы избежать обнаружения и избежать следов на диске.

Azorult широко использовался в фишинговых кампаниях по электронной почте и доступен для продажи на подпольных российских форумах.

Он нацелен на крипто-кошельки, браузеры и различные приложения для сбора конфиденциальных данных.

Собранные артефакты отправляются на удаленный сервер с помощью шифрования и сжатия.

Azorult использует криптографию с эллиптической кривой Curve25519 для генерации ключей и безопасной связи.

Он может быть родом из Восточной Европы или Центральной Азии, основываясь на языковых показателях в коде.

Вредоносная программа значительно снижает вероятность обнаружения, поскольку не сохраняет файлы на диске.

Продолжающаяся кампания Azorult представляет постоянную угрозу, поскольку крадет конфиденциальные данные и способствует распространению дополнительных вредоносных программ.

#ParsedReport #CompletenessLow
15-01-2024

Remcos RAT. Remcos RAT communication model analysis and offensive and defensive technology confrontation

https://mp-weixin-qq-com.translate.goog/s/yqauQ6rtBzrLI7h1nB7zQg?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=wapp

Report completeness: Low

Threats:
Remcos_rat

ChatGPT TTPs:
do not use without manual check
T1056, T1213, T1219, T1486

IOCs:
File: 1

Soft:
WeChat

Algorithms:
rc4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основной идеей текста является анализ коммуникационной модели версии коммерческого трояна Remcos-v4.9.3, известного как Remcos. Автор подчеркивает важность изучения методов атаки и защиты, связанных с этим трояном, поскольку он широко используется APT-организациями в целях кражи данных. В тексте обсуждаются проблемы расшифровки сообщений троянца из-за использования шифрования TLS1.3 и предлагаются альтернативные подходы, такие как моделирование и воспроизведение модели связи для эффективного анализа и отладки.
-----

В тексте обсуждается анализ коммуникационной модели версии Remcos-v4.9.3 программы удаленного управления, известной как Remcos. Этот коммерческий троян широко используется организациями APT в целях кражи данных и постоянно обновляется и поддерживается. Автор подчеркивает важность исследования методов атаки и защиты, связанных с этим трояном.

Чтобы понять историческую коммуникационную модель Remcos, автор провел исследование с различных точек зрения. Они искали исторические версии программы, но обнаружили ограниченную доступность. Они также искали аналитические отчеты в Интернете, но лишь немногие сосредоточились на сетевой коммуникационной модели. Автор, наконец, проанализировал последнюю бесплатную версию Remcos и определил две модели коммуникации, включая использование протокола TLS1.3.

Далее автор проанализировал агентский троян Remcos и обнаружил, что расшифровать его сообщения сложно из-за шифрования TLS1.3. Тем не менее, они предлагают проанализировать зашифрованные данные, чтобы обнаружить и идентифицировать коммуникационное поведение образца. Автор приходит к выводу, что в целом работа Remcos удобна для пользователя и плавна, поддерживается множество инструкций.

В процессе анализа автор заметил, что разные версии Remcos используют один и тот же метод шифрования информации о конфигурации. Они предполагают, что все исторические версии Remcos, включая самые последние, используют унифицированное шифрование информации о конфигурации.

В своем анализе версии Remcos-v4.9.3 автор заметил различия в данных связи по сравнению с обычными методами дешифрования TLS. Они отметили отсутствие данных сертификата и неиспользование алгоритма DH в данных связи. Коммуникационное поведение этой версии включало в себя основной сеанс для получения инструкций и данных о сердцебиении, а также подсеансы для передачи командных данных.

Автор предлагает альтернативный подход для быстрой сортировки инструкций ответа каждой функции в Remcos-v4.9.3. Это включает в себя моделирование и воспроизведение коммуникационной модели программы для эффективного анализа и отладки конкретных номеров команд. Они попытались смоделировать и построить управляющую часть программы дистанционного управления Remcos-v4.9.3 для целей анализа.

Подводя итог, в тексте основное внимание уделяется анализу коммуникационной модели версии коммерческого трояна Remcos-v4.9.3, используемой организациями APT. Автор рассматривает различные точки зрения, включая поиск исторических версий, изучение аналитических отчетов и анализ последней бесплатной версии Remcos. Они также обсуждают проблемы расшифровки сообщений трояна из-за использования шифрования TLS1.3. Автор предлагает моделирование и воспроизведение коммуникационной модели для эффективного анализа и отладки.

#ParsedReport #CompletenessLow
15-01-2024

LockBit ransomware is distributed as a word document disguised as a resume.

https://asec.ahnlab.com/ko/60353

Report completeness: Low

Threats:
Lockbit
Malware/win.agen.r417906
Trojan/win.generic.r629778
Ransom/mdp.event.m4194

ChatGPT TTPs:
do not use without manual check
T1566.001, T1133, T1204, T1027, T1036, T1059.001, T1486

IOCs:
File: 2
Url: 6
Hash: 14

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея из текста заключается в том, что программа-вымогатель LockBit распространяется через документы Word, которые выдают себя за резюме. Вредоносные документы содержат внешние URL-ссылки и при запуске загружают дополнительный вредоносный макрокод. Злоумышленники повторно используют ранее распространенные документы, а код макроса запутан аналогично тому, что наблюдалось в 2022 году. В конечном итоге макрос запускает PowerShell для загрузки и выполнения программы-вымогателя LockBit. Пользователям следует проявлять осторожность при работе с файлами, связанными с резюме, поскольку подобным образом распространяются и другие формы вредоносного кода.
-----

Аналитический центр безопасности AhnLab (ASEC) подтвердил, что программа-вымогатель LockBit распространяется через документы Word, выдавая себя за резюме. Этот метод распространения с использованием внешних URL-ссылок в документах Word впервые был замечен в 2022 году. Последний вредоносный документ Word содержит файл с именем \word\_rels\settings.xml.rels, который содержит внешнюю ссылку. При запуске документа с внешнего URL загружается файл документа с дополнительным вредоносным макрокодом.

При проверке свойств документа было обнаружено, что большинство из них соответствуют свойствам ранее распространявшихся документов. Это говорит о том, что злоумышленники повторно используют документы, использовавшиеся в прошлом. Документ Word содержит изображение, которое запускает выполнение вредоносного макроса VBA. При выполнении этого макроса выполняется макрос VBA загруженного файла документа.

Код этого макроса запутан аналогично макросу VBA, наблюдавшемуся в 2022 году. В конечном счете, макрос запускает PowerShell, который затем загружает и запускает программу-вымогатель LockBit. Подтвержденный URL-адрес для загрузки программы-вымогателя LockBit 3.0 приведен в тексте.

Как только программа-вымогатель LockBit 3.0 запускается на компьютере пользователя, она шифрует файлы в системе. Важно отметить, что помимо программы-вымогателя LockBit распространяются различные другие формы вредоносного кода, замаскированные под резюме. Поэтому пользователям необходимо проявлять осторожность при работе с файлами, связанными с резюме.

#ParsedReport #CompletenessLow
15-01-2024

Sneaky GPU.zip Technique Steals Sensitive Information From Your Graphics Card

https://blogs.blackberry.com/en/2023/12/sneaky-gpu-zip-technique-steals-sensitive-information-from-your-graphics-card

Report completeness: Low

Industry:
Education, Financial

Geo:
American

ChatGPT TTPs:
do not use without manual check
T1003, T1566, T1114, T1204, T1213

IOCs:
File: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что группа исследователей обнаружила метод под названием GPU.zip, который позволяет злоумышленникам получать несанкционированный доступ к визуальной информации пользователей через их видеокарты при просмотре определенных веб-сайтов. Этот эксплойт использует методы скрытого сжатия данных в современных графических процессорах и работает как атака по побочному каналу. В отличие от других атак, GPU.zip не требует прямого доступа к целевому устройству и может быть выполнена удаленно. Исследователи обеспокоены последствиями этой атаки для конфиденциальности и безопасности пользователей и представят подробный анализ на предстоящей конференции по кибербезопасности.
-----

Группа исследователей из ведущих американских университетов обнаружила вызывающий беспокойство метод, позволяющий злоумышленникам получать несанкционированный доступ к визуальной информации пользователей через их видеокарты, когда они просматривают определенные веб-сайты. Получившая название GPU.zip, эта угроза использует методы скрытого сжатия данных, используемые современными графическими процессорами, что позволяет передавать визуальные данные третьим лицам-злоумышленникам.

Атака работает как атака по побочному каналу, используя непреднамеренную утечку информации для сбора данных. Она имеет сходство с другой формой атаки, называемой "Горячие пиксели", когда злоумышленник извлекает пиксели из веб-браузера, чтобы раскрыть историю посещений пользователем.

Что отличает GPU.zip, так это то, что для этого не требуется прямой доступ к целевому устройству, что делает его особенно тревожным. Скорее всего, злоумышленники, осуществляющие целенаправленную атаку, могут удаленно заманивать пользователей на свой вредоносный веб-сайт, потенциально используя такие тактики, как фишинг электронной почты. Хотя атака может быть выполнена на различных устройствах, таких как ноутбуки, смартфоны, планшеты и настольные компьютеры по всему миру, она требует значительного времени и сложной настройки. Кроме того, веб-сайты, использующие перекрестное встраивание iframe, которое не позволяет другим веб-сайтам отображать их контент, не могут быть использованы для кражи данных с использованием GPU.zip или аналогичных методов.

Исследователи выражают обеспокоенность потенциальными последствиями этой атаки для конфиденциальности и безопасности пользователей. Использование современных графических процессоров таким образом может позволить злоумышленникам получать доступ к визуальной информации с веб-страниц и злоупотреблять ею без ведома пользователя. Подробный анализ этого типа атак будет представлен на 45-м симпозиуме IEEE по безопасности и конфиденциальности в мае 2024 года в статье, подготовленной совместно исследователями из Техасского университета в Остине, Университета Карнеги-Меллона, Вашингтонского университета и Иллинойского университета Урбана-Шампейн.

#ParsedReport #CompletenessLow
15-01-2024

You Had Me at Hi - Mirai-Based NoaBot Makes an Appearance

https://www.akamai.com/blog/security-research/2024/jan/mirai-based-noabot-crypto-mining

Report completeness: Low

Threats:
Mirai
Noabot
P2pinfect
Xmrig_miner

Victims:
Linux-based iot devices, Chinese networks

Industry:
Iot, Financial, Entertainment

Geo:
China

ChatGPT TTPs:
do not use without manual check
T1050, T1071, T1496, T1027

IOCs:
IP: 1

Soft:
crontab, Redis, Unix, Docker

Algorithms:
xor

Languages:
rust

Links:
https://github.com/akamai/akamai-security-research/tree/main/malware/noabot/credentials
https://github.com/jgamblin/Mirai-Source-Code/blob/3273043e1ef9c0bb41bd9fcdc5317f7b797a2a94/ForumPost.md
https://github.com/guardicore/monkey/releases/download/v2.3.0/InfectionMonkey-docker-v2.3.0.tgz
https://github.com/guardicore/monkey/releases/download/v2.3.0/InfectionMonkey-v2.3.0.exe
https://github.com/akamai/akamai-security-research/tree/main/malware/noabot/infection\_monkey\_noabot\_profile.conf
https://github.com/jgamblin/Mirai-Source-Code/tree/3273043e1ef9c0bb41bd9fcdc5317f7b797a2a94
https://github.com/xmrig/xmrig/blob/master/src/xmrig.cpp
https://github.com/akamai/akamai-security-research/tree/main/malware/noabot
https://github.com/guardicore/monkey/releases/download/v2.3.0/InfectionMonkey-v2.3.0.AppImage