#ParsedReport #CompletenessLow
22-01-2024

Parrot TDS: A Persistent and Evolving Malware Campaign

https://unit42.paloaltonetworks.com/parrot-tds-javascript-evolution-analysis

Report completeness: Low

Threats:
Parrot_tds
Wildfire

Victims:
Multiple global websites across various industries, A compromised website based in brazil

Geo:
Brazilian, Brazil

ChatGPT TTPs:
do not use without manual check
T1189, T1064, T1027, T1505, T1204, T1195

IOCs:
File: 1
Hash: 200

Soft:
WordPress, Joomla

Algorithms:
sha256

Win API:
Pie

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, chart: 2, code: 14

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Parrot TDS - это система направления трафика, которая внедряет вредоносные скрипты в существующий код JavaScript на серверах. Внедренный скрипт включает в себя целевой скрипт, который профилирует жертв, и сценарий полезной нагрузки, который направляет их браузеры на вредоносный контент. Идентификаторы Parrot TDS можно идентифицировать по определенным ключевым словам, найденным во встроенном JavaScript. Кампания проводится с 2019 года и со временем эволюционировала. Цепочка атак следует последовательной схеме, при которой скомпрометированные веб-серверы вводят сценарии посадки с ключевыми словами, и если условия выполняются, браузер жертвы запрашивает сервер полезной нагрузки, который возвращает полезную нагрузку JavaScript. Анализ показывает, что существует четыре основных версии сценария посадки и девять версий сценария полезной нагрузки. Кампания нацелена на жертв по всему миру и компрометирует веб-сайты с использованием различных систем управления контентом. Администраторы веб-сайтов могут проверить, были ли их сайты скомпрометированы, выполнив поиск по соответствующим ключевым словам и проведя аудит контента.
-----

Parrot TDS - это система направления трафика, которая активна с октября 2021 года. Она включает внедрение вредоносных скриптов в существующий код JavaScript, размещенный на серверах. Внедренный скрипт состоит из целевого скрипта, который профилирует жертву, и сценария полезной нагрузки, который может перенаправлять браузер жертвы на вредоносный контент. Parrot TDS легко идентифицировать по ключевым словам, найденным во встроенном JavaScript. Кампания проводится как минимум с 2019 года и со временем эволюционировала.

Цепочка атак Parrot TDS следует последовательной схеме. Скомпрометированный веб-сервер внедряет в существующие файлы JavaScript фрагмент целевого кода JavaScript, который содержит ключевые слова, такие как "ndsw" или "ndsj". При выполнении определенных условий браузер жертвы запрашивает сервер полезной нагрузки, который возвращает полезную нагрузку JavaScript, содержащую ключевые слова, такие как "ndsx". Затем скрипт полезной нагрузки может перенаправлять браузер жертвы на вредоносные веб-страницы или вредоносный контент.

Анализ более 10 000 сценариев лендинга Parrot TDS показывает, что четыре версии представляют большую часть собранных данных. В этих версиях используются ключевые слова, такие как "ndsw" или "ndsj", причем в последнем используется больше методов запутывания. Более поздние версии сценария посадки имеют ту же функциональность, что и более ранние версии, но могут иметь незначительные различия в методах запутывания и индексах массивов. С августа 2022 года увеличилось количество сценариев посадки с несколькими строками внедренного кода.

Сценарии полезной нагрузки Parrot TDS, идентифицируемые ключевым словом "ndsx", выпускаются в девяти версиях. Наиболее распространенная версия, V2, является вредоносной, в то время как версия 1 - нет. Различные версии скрипта полезной нагрузки включают запутывание и нацелены на конкретные операционные системы или подключают интерактивные ссылки на целевых страницах.

Кампания Parrot TDS нацелена на жертв по всему миру и компрометирует веб-сайты, использующие различные системы управления контентом, такие как WordPress или Joomla. Администраторы веб-сайтов могут определить, были ли их сайты скомпрометированы, выполнив поиск по соответствующим ключевым словам в содержимом сервера и проведя аудит, чтобы найти любые дополнительные файлы .php.

#ParsedReport #CompletenessLow
22-01-2024

Dark Web Profile: WereWolves Ransomware

https://socradar.io/dark-web-profile-werewolves-ransomware

Report completeness: Low

Threats:
Lockbit

Industry:
Financial

Geo:
German, Russian

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что русскоязычная киберпреступная организация WereWolves Ransomware group стала серьезной угрозой в сфере киберпреступности. Они используют программу-вымогатель LockBit3, применяют тактику двойного вымогательства, нацелены на широкий спектр отраслей и сосредоточены на средних и малых предприятиях и организациях. Их присутствие в Интернете, включая веб-сайт пропаганды и подбора персонала, вызывает вопросы об их деятельности и потенциальных связях с LockBit group. Выбор отраслей предполагает мотивацию, выходящую за рамки финансовой выгоды, и потенциальную возможность значительных операционных и финансовых проблем. Существуют сомнения в подлинности их атак, и необходимы постоянная бдительность и мониторинг, чтобы понять их операции и намерения. Организациям необходимо поддерживать бдительную и адаптивную киберзащиту для смягчения угрозы.
-----

Группа вымогателей WereWolves, русскоязычная киберпреступная организация, появилась недавно и привлекла к себе внимание своим быстрым ростом в сфере киберпреступности. Они используют разновидность программы-вымогателя LockBit3 и применяют тактику двойного вымогательства, шифруя данные и угрожая обнародовать их, если выкуп не будет выплачен. Они нацелились на широкий спектр отраслей и предприятий по всему миру, сосредоточившись в основном на средних и малых предприятиях и организациях.

По состоянию на 9 января 2024 года программа-вымогатель WereWolves нацелилась на 23 жертвы. Их присутствие в Сети примечательно: веб-сайт используется для пропаганды, распространения информации и вербовки. Интересно, что один из их веб-сайтов имеет немецкое название, что поднимает оставшиеся без ответа вопросы об их деятельности и потенциальных связях с LockBit group, поскольку на них перечислены одни и те же жертвы.

Хотя их цели кажутся случайными, выбор отраслей предполагает, что они нацелены на сектора, которые легко атаковать, но которые оказывают сильное воздействие, потенциально вызывая значительные операционные и финансовые проблемы. Это указывает на мотивацию, выходящую за рамки финансовой выгоды, с потенциалом разрушительных последствий в большем масштабе. В отличие от традиционных российских групп вымогателей, они нацелены не только на Россию и бывшие советские страны, но и на страны, близкие к Советскому Союзу.

Существуют сомнения в подлинности атак WereWolves, поскольку проверка или опровержение их деятельности имеет решающее значение для понимания истинной угрозы, которую они представляют. Одновременное проведение шести атак наряду с деятельностью LockBit повышает вероятность связи между этими двумя киберпреступными группами. Постоянная бдительность и мониторинг необходимы для полного понимания операций и намерений оборотней.

Учитывая, что WereWolves - относительно молодая группа, использование ими опасного варианта LockBit Black подчеркивает важность поддержания бдительной и адаптивной киберзащиты для смягчения таких угроз. Даже незначительные инциденты могут привести к дальнейшим кибератакам, что делает крайне важным для организаций оставаться активными в защите своих систем и данных.

#ParsedReport #CompletenessMedium
22-01-2024

Trigona ransomware attackers using Mimic ransomware

https://asec.ahnlab.com/ko/60744

Report completeness: Medium

Threats:
Mimic_ransomware
Trigona
Conti
Remcos_rat
Loveminer
Anydesk_tool
Mimikatz_tool
Trojan/win.generic.r531737
Defendercontrol_tool
Ransomware/win.mimic.c5543473
Filecoder
Trojan/win.agent.c5574264
Trojan/win.agent.c5574265
Malware/mdp.minipulate.m71
Ransom/mdp.decoy.m1171

Victims:
Improper managed ms-sql servers

CVEs:
CVE-2021-40539 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- zohocorp manageengine adselfservice plus (5.7, 5.0, 5.1, 5.2, 5.3, 5.4, 5.5, 5.6, 4.5, 5.8, 6.0, 6.1, 5.0.6)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1210, T1110, T1105, T1105, T1486, T1486, T1003, T1068, T1573, T1021, have more...

IOCs:
Email: 2
Url: 1
File: 12
Path: 12
Hash: 9
IP: 1

Soft:
MS-SQL, Sysinternals

Algorithms:
aes, zip, md5

Languages:
powershell, delphi

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что появилась новая активность, связанная с установкой программы-вымогателя Mimic злоумышленниками Trigona. Эти атаки нацелены на неправильно управляемые серверы MS-SQL и продолжаются, по крайней мере, с июня 2022 года. Злоумышленники используют BCP для установки вредоносного кода на серверы, и сходство в таргетинге, методах и примечаниях о выкупе позволяет предположить, что за атаками Trigona и Mimic стоит один и тот же злоумышленник. Основной целью этих атак являются уязвимые серверы MS-SQL, открытые извне, и у злоумышленников есть опыт нацеливания на такие системы. Они также используют такие инструменты, как PowerShell, AnyDesk и Mimikatz, для выполнения своих вредоносных действий. Целью этих атак является шифрование систем и кража конфиденциальной информации с целью получения денежной выгоды. Защита от этих атак включает в себя защиту серверов баз данных, использование сложных паролей, обновление мер безопасности и контроль внешнего доступа через брандмауэры.
-----

Злоумышленники Trigona ransomware устанавливают программу-вымогатель Mimic на серверы MS-SQL.

Нападения продолжаются по меньшей мере с июня 2022 года.

Программа-вымогатель Mimic изначально была установлена с использованием BCP, но позже была обнаружена программа-вымогатель Trigona.

Адреса электронной почты в уведомлениях о выкупе отличаются у двух программ-вымогателей.

Считается, что за атаками программ-вымогателей Trigona и Mimic стоит один и тот же злоумышленник.

Обе программы-вымогатели используют алгоритмы шифрования RSA и AES.

Программа-вымогатель Trigona нацелена на серверы MS-SQL и использует уязвимости, такие как CVE-2021-40539.

Программа-вымогатель Mimic злоупотребляет программой поиска файлов под названием Everything и включает в себя функции программы-вымогателя Conti.

Основной целью являются неправильно управляемые и уязвимые серверы MS-SQL.

Злоумышленники используют команды PowerShell или злоупотребляют SQLPS для загрузки вредоносного ПО.

Вредоносный код, включая программы-вымогатели Trigona, AnyDesk и Mimic, экспортируется с помощью команд BCP.

Злоумышленники-вымогатели Trigona используют Mimikatz для кражи учетных данных.

AnyDesk установлен для удаленного управления зараженными системами.

Злоумышленник использовал безопасный режим и создал вредоносную программу запуска и переадресации портов.

Злоумышленники-вымогатели Trigona все чаще используют в своих атаках имитирующие программы-вымогатели.

Атаки методом перебора и по словарю следует предотвращать, используя сложные пароли.

Регулярное обновление мер безопасности и контроль внешнего доступа через брандмауэры имеют решающее значение.

#ParsedReport #CompletenessLow
22-01-2024

Lazarus DLL-Side Loading (2)

https://asec-ahnlab-com.translate.goog/ko/60470/?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US&_x_tr_pto=wapp

Report completeness: Low

Actors/Campaigns:
Lazarus

Threats:
Dll_sideloading_technique
Spear-phishing_technique
Supply_chain_technique
Lazarloader

Victims:
Domestic companies, Institutions, Think tanks

TTPs:

ChatGPT TTPs:
do not use without manual check
T1574.002, T1216, T1566.001, T1195

IOCs:
File: 3
Path: 2
Hash: 2

Win API:
GetSystemFirmwareTable

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея из текста заключается в том, что компания по кибербезопасности AhnLab Security Intelligence Center (ASEC) обнаружила новый вариант метода атаки с боковой загрузкой DLL, используемого атакующей группой Lazarus. Lazarus, высококвалифицированная и опасная группа продвинутых постоянных угроз (APT), нацелена на различные организации по всему миру. Конкретный вариант предполагает использование обычной программы wmiapsrv.exe, которая загружает модифицированные библиотеки DLL, wbemcomn.dll и netutils.библиотеки dll, действующие как бэкдоры для вредоносных действий. Группа Lazarus применяет целенаправленные подходы и использует системную информацию для расшифровки и выполнения вредоносных действий. Организациям рекомендуется проявлять бдительность в отношении таких угроз.
-----

Аналитический центр безопасности AhnLab (ASEC) недавно обнаружил новый вариант метода атаки с боковой загрузкой DLL, используемого группой атаки Lazarus. Lazarus - это группа продвинутых постоянных угроз (APT), известная тем, что нацелена на различные организации, такие как компании, учреждения и аналитические центры. Открытие было сделано с помощью инфраструктуры AhnLab под названием AhnLab Smart Defense (ASD) 12 января 2024 года.

Загрузка на стороне DLL (T1574.002 Hijack Execution Flow: Загрузка на стороне DLL) - это метод, обычно используемый группой Lazarus на начальных этапах проникновения и выполнения вредоносных программ в своих атаках. Этот метод предполагает размещение обычного приложения и вредоносной библиотеки динамических ссылок (DLL) в одном пути к папке. При запуске приложения вредоносная библиотека DLL выполняется вместе с ним, действуя как форма выполнения вредоносного кода.

Недавно выявленная обычная программа, используемая Lazarus, - это wmiapsrv.exe, законный модуль Microsoft, который загружает wbemcomn.dll. Однако группа Lazarus изменила эту библиотеку DLL, а также включила другую вредоносную библиотеку DLL с именем netutils.dll в том же пути к папке. Эти модифицированные библиотеки DLL служат в качестве бэкдоров, позволяя злоумышленникам выполнять вредоносные действия в скомпрометированной системе.

Wbemcomn.dll , в частности, включает процедуру проверки цели заражения. Эта процедура использует значение результата вызова API GetSystemFirmwareTable, которое содержит уникальную системную информацию. Значение результата затем используется для расшифровки зашифрованной строки, найденной в области ресурсов wbemcomn.dll. Расшифрованное значение соответствует пути к файлу, который необходимо загрузить, что запускает дальнейшие вредоносные действия.

Такой целенаправленный подход указывает на то, что группа Lazarus стремится работать исключительно в определенных системах. Процесс расшифровки основан на результате вызова API GetSystemFirmwareTable, что делает невозможным выполнение предполагаемых вредоносных действий в системах с другой информацией о пути к файлу.

Lazarus известна как одна из самых опасных и глобально активных групп APT. Они используют различные векторы атак, включая точечный фишинг и атаки на цепочки поставок. AhnLab диагностировала этот конкретный вариант вредоносного ПО и советует организациям проявлять бдительность в отношении таких угроз.

Таким образом, было замечено, что Lazarus использует метод боковой загрузки DLL с помощью обычной программы под названием wmiapsrv.exe. Эта программа загружает модифицированные библиотеки DLL, wbemcomn.dll и netutils.dll, которые служат бэкдорами для вредоносных действий. Процедура проверки в wbemcomn.библиотека dll полагается на системную информацию, полученную с помощью вызова API GetSystemFirmwareTable. Группа Lazarus обладает высокой квалификацией и использует несколько векторов атак, что представляет значительную угрозу для организаций по всему миру.

#ParsedReport #CompletenessLow
23-01-2024

GitGot: GitHub leveraged by cybercriminals to store stolen data

https://www.reversinglabs.com/blog/gitgot-cybercriminals-using-github-to-store-stolen-data

Report completeness: Low

Threats:
Supply_chain_technique
R77rk_tool
Empire_loader
Mimikatz_tool
Seroxen_rat
Iamreboot

ChatGPT TTPs:
do not use without manual check
T1539, T1105, T1095, T1195, T1566, T1503, T1555

IOCs:
File: 3
Hash: 44

Soft:
macOS, NuGet

Algorithms:
base64

Languages:
javascript

Links:
https://github.com/EmpireProject/Empire

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что кибератакеры все чаще используют менеджеры пакетов с открытым исходным кодом и связанную с ними инфраструктуру для осуществления атак на цепочки поставок вредоносного программного обеспечения. В частности, в тексте подчеркивается обнаружение двух вредоносных пакетов, warbeast2000 и kodiak2k, в менеджере пакетов с открытым исходным кодом npm, которые украли зашифрованные SSH-ключи Base64 из систем разработчиков. Украденные SSH-ключи хранились в репозиториях злоумышленников на GitHub. В тексте подчеркивается растущее число вредоносных пакетов, обнаруживаемых в менеджерах пакетов, и потенциальные последствия кражи SSH-ключей для безопасности. В нем также упоминается растущее использование таких платформ, как GitHub, злоумышленниками для размещения инфраструктуры командования и контроля. В заключение текст призывает разработчиков и организации сохранять бдительность и проводить тщательную оценку безопасности, прежде чем внедрять программное обеспечение от менеджеров пакетов.
-----

В менеджере пакетов с открытым исходным кодом npm были обнаружены два вредоносных пакета, warbeast2000 и kodiak2k.

В этих пакетах хранились украденные SSH-ключи, зашифрованные Base64, взятые из систем разработчиков.

Пакеты имели несколько версий, но были удалены с момента их идентификации.

Количество вредоносных пакетов в менеджерах пакетов с открытым исходным кодом выросло на 1300% в период с 2020 по конец 2023 года.

Пакет warbeast2000 содержал постинсталляционный скрипт, который извлекал и выполнял файл JavaScript, предоставляя SSH-ключ в контролируемый злоумышленником репозиторий GitHub.

Пакет kodiak2k продемонстрировал аналогичное поведение и выполнил скрипт из проекта GitHub, содержащего фреймворк Empire post-exploitation framework.

Кража SSH-ключей может предоставить доступ к репозиториям GitHub, создавая угрозу безопасности.

Злоумышленники используют программное обеспечение с открытым исходным кодом и инфраструктуру разработки, включая GitHub, для своих кампаний.

GitHub стал популярной платформой для размещения элементов вредоносной инфраструктуры управления.

Бдительность имеет решающее значение для выявления и смягчения угроз в общедоступных хранилищах.

Важно провести тщательную оценку безопасности перед использованием программного обеспечения или библиотек из менеджеров пакетов.

#ParsedReport #CompletenessMedium
23-01-2024

Threat Assessment: BianLian

https://unit42.paloaltonetworks.com/bianlian-ransomware-group-threat-assessment

Report completeness: Medium

Actors/Campaigns:
Bianlian (motivation: financially_motivated)

Threats:
Makop
Wildfire
Bianlian_ransomware
Advanced-port-scanner_tool
Proxyshell_vuln
Credential_dumping_technique
Bianlian_backdoor
Impacket_tool
Bianlian_encryptor

Victims:
Us healthcare sector, Us manufacturing sector, Eu healthcare sector, Eu manufacturing sector

Industry:
Healthcare

Geo:
California, Japanese, Russian, India, America

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1190, T1190, T1100, T1210, T1046, T1053

IOCs:
Hash: 58
IP: 34

Links:
https://github.com/fortra/impacket

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея из приведенного текста заключается в том, что группа вымогателей BianLian в настоящее время активна и нацелена на секторы здравоохранения и производства в Соединенных Штатах и Европе. Они изменили свою стратегию с шифрования данных жертв на их кражу и угрозу опубликовать их, если выкуп не будет выплачен. Группа реагирования на инциденты подразделения 42 отреагировала на многочисленные инциденты, связанные с программой-вымогателем BianLian, и рекомендует решения безопасности Palo Alto Networks для защиты от этой угрозы. Имеются признаки возможной связи между BianLian и группой программ-вымогателей Makop, основанные на общих тактиках и инструментах. BianLian group использует украденные учетные данные, использует уязвимости, нацеливается на поставщиков VPN и развертывает веб-оболочки для проникновения в сети. У них есть отдельные компоненты шифрования и бэкдора, причем теперь шифратор заменен пользовательским бэкдором. BianLian последовательно работает с 2022 года и фокусируется исключительно на вымогательстве без шифрования данных.
-----

Группа вымогателей BianLian была отмечена как одна из наиболее активных групп, основываясь на данных о местах утечек, собранных исследователями Unit 42. В первую очередь они нацелены на секторы здравоохранения и производства в Соединенных Штатах и Европе, и недавно они сменили свою стратегию со схемы двойного вымогательства на схему вымогательства без шифрования. Это означает, что они больше не шифруют данные жертв, а вместо этого крадут их и угрожают опубликовать, если не будет выплачен выкуп.

Группа реагирования на инциденты подразделения 42 отреагировала на несколько инцидентов, связанных с программой-вымогателем BianLian, начиная с сентября 2022 года. Клиенты Palo Alto Networks лучше защищены от этой программы-вымогателя благодаря использованию своих решений безопасности, таких как Cortex XDR, и облачных служб безопасности для брандмауэра следующего поколения.

Группа BianLian появилась в 2022 году и в первую очередь нацелена на секторы здравоохранения, производства, профессиональных и юридических услуг. Об их атаках сообщалось в Северной Америке, ЕС и Индии. Есть признаки возможной связи между BianLian и группой вымогателей Makop, поскольку они используют один и тот же настроенный инструмент и схожую тактику.

Во время своих атак группа BianLian использует украденные учетные данные протокола удаленного рабочего стола (RDP), использует уязвимости, такие как ProxyShell, нацеливается на поставщиков VPN и развертывает веб-оболочки для проникновения в корпоративные сети. Оказавшись внутри, они используют различные общедоступные инструменты для перемещения вбок и выполнения полезной нагрузки бэкдора. Они также используют тот же продвинутый инструмент сканирования портов, что и группа вымогателей Makop.

У BianLian group есть отдельные компоненты encryptor и backdoor в качестве конечной полезной нагрузки. Шифратор использовался для двойного вымогательства, но теперь был заменен пользовательским бэкдором, написанным на Go. Бэкдор служит загрузчиком для загрузки и выполнения дополнительной полезной нагрузки. И шифровальщик, и бэкдор были обнаружены и предотвращены модулем защиты от программ-вымогателей Cortex XDR от Palo Alto Networks.

С момента своего обнаружения в 2022 году группа BianLian была неизменно активна и доминировала в сфере киберугроз. Они адаптировали свою тактику, сосредоточившись исключительно на вымогательстве, оказывая давление на жертв, чтобы они платили выкуп, не шифруя их файлы. Существует также потенциальная связь с группой программ-вымогателей Makop, основанная на общих инструментах и поведении.

#ParsedReport #CompletenessMedium
23-01-2024

Kasseika Ransomware Deploys BYOVD Attacks, Abuses PsExec and Exploits Martini Driver

https://www.trendmicro.com/en_us/research/24/a/kasseika-ransomware-deploys-byovd-attacks-abuses-psexec-and-expl.html

Report completeness: Medium

Actors/Campaigns:
Blackmatter
Darkside

Threats:
Kasseika
Byovd_technique
Akira_ransomware
Blackbyte
Avoslocker
Blackcat
Jadtre
Pincav
Procmon_tool
Themida_tool
Cryptopp_tool

Victims:
Company with unidentified industry

Geo:
Francesca

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1192, T1078, T1021.001, T1059.003, T1490, T1070.001, T1058.001, T1543.003

IOCs:
File: 16
Registry: 1

Soft:
PsExec, ysinternals, ysinternals.co

Algorithms:
chacha20, base64

Win API:
CreateFileW, DeviceIoControl, ZwTerminateProcess, FindWindowA

#ParsedReport #ExtractedSchema

Classified images:
windows: 24, schema: 1, code: 6, dump: 2