#ParsedReport #CompletenessLow
22-01-2024

Dark Web Profile: WereWolves Ransomware

https://socradar.io/dark-web-profile-werewolves-ransomware

Report completeness: Low

Threats:
Lockbit

Industry:
Financial

Geo:
German, Russian

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что русскоязычная киберпреступная организация WereWolves Ransomware group стала серьезной угрозой в сфере киберпреступности. Они используют программу-вымогатель LockBit3, применяют тактику двойного вымогательства, нацелены на широкий спектр отраслей и сосредоточены на средних и малых предприятиях и организациях. Их присутствие в Интернете, включая веб-сайт пропаганды и подбора персонала, вызывает вопросы об их деятельности и потенциальных связях с LockBit group. Выбор отраслей предполагает мотивацию, выходящую за рамки финансовой выгоды, и потенциальную возможность значительных операционных и финансовых проблем. Существуют сомнения в подлинности их атак, и необходимы постоянная бдительность и мониторинг, чтобы понять их операции и намерения. Организациям необходимо поддерживать бдительную и адаптивную киберзащиту для смягчения угрозы.
-----

Группа вымогателей WereWolves, русскоязычная киберпреступная организация, появилась недавно и привлекла к себе внимание своим быстрым ростом в сфере киберпреступности. Они используют разновидность программы-вымогателя LockBit3 и применяют тактику двойного вымогательства, шифруя данные и угрожая обнародовать их, если выкуп не будет выплачен. Они нацелились на широкий спектр отраслей и предприятий по всему миру, сосредоточившись в основном на средних и малых предприятиях и организациях.

По состоянию на 9 января 2024 года программа-вымогатель WereWolves нацелилась на 23 жертвы. Их присутствие в Сети примечательно: веб-сайт используется для пропаганды, распространения информации и вербовки. Интересно, что один из их веб-сайтов имеет немецкое название, что поднимает оставшиеся без ответа вопросы об их деятельности и потенциальных связях с LockBit group, поскольку на них перечислены одни и те же жертвы.

Хотя их цели кажутся случайными, выбор отраслей предполагает, что они нацелены на сектора, которые легко атаковать, но которые оказывают сильное воздействие, потенциально вызывая значительные операционные и финансовые проблемы. Это указывает на мотивацию, выходящую за рамки финансовой выгоды, с потенциалом разрушительных последствий в большем масштабе. В отличие от традиционных российских групп вымогателей, они нацелены не только на Россию и бывшие советские страны, но и на страны, близкие к Советскому Союзу.

Существуют сомнения в подлинности атак WereWolves, поскольку проверка или опровержение их деятельности имеет решающее значение для понимания истинной угрозы, которую они представляют. Одновременное проведение шести атак наряду с деятельностью LockBit повышает вероятность связи между этими двумя киберпреступными группами. Постоянная бдительность и мониторинг необходимы для полного понимания операций и намерений оборотней.

Учитывая, что WereWolves - относительно молодая группа, использование ими опасного варианта LockBit Black подчеркивает важность поддержания бдительной и адаптивной киберзащиты для смягчения таких угроз. Даже незначительные инциденты могут привести к дальнейшим кибератакам, что делает крайне важным для организаций оставаться активными в защите своих систем и данных.

#ParsedReport #CompletenessMedium
22-01-2024

Trigona ransomware attackers using Mimic ransomware

https://asec.ahnlab.com/ko/60744

Report completeness: Medium

Threats:
Mimic_ransomware
Trigona
Conti
Remcos_rat
Loveminer
Anydesk_tool
Mimikatz_tool
Trojan/win.generic.r531737
Defendercontrol_tool
Ransomware/win.mimic.c5543473
Filecoder
Trojan/win.agent.c5574264
Trojan/win.agent.c5574265
Malware/mdp.minipulate.m71
Ransom/mdp.decoy.m1171

Victims:
Improper managed ms-sql servers

CVEs:
CVE-2021-40539 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- zohocorp manageengine adselfservice plus (5.7, 5.0, 5.1, 5.2, 5.3, 5.4, 5.5, 5.6, 4.5, 5.8, 6.0, 6.1, 5.0.6)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1210, T1110, T1105, T1105, T1486, T1486, T1003, T1068, T1573, T1021, have more...

IOCs:
Email: 2
Url: 1
File: 12
Path: 12
Hash: 9
IP: 1

Soft:
MS-SQL, Sysinternals

Algorithms:
aes, zip, md5

Languages:
powershell, delphi

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что появилась новая активность, связанная с установкой программы-вымогателя Mimic злоумышленниками Trigona. Эти атаки нацелены на неправильно управляемые серверы MS-SQL и продолжаются, по крайней мере, с июня 2022 года. Злоумышленники используют BCP для установки вредоносного кода на серверы, и сходство в таргетинге, методах и примечаниях о выкупе позволяет предположить, что за атаками Trigona и Mimic стоит один и тот же злоумышленник. Основной целью этих атак являются уязвимые серверы MS-SQL, открытые извне, и у злоумышленников есть опыт нацеливания на такие системы. Они также используют такие инструменты, как PowerShell, AnyDesk и Mimikatz, для выполнения своих вредоносных действий. Целью этих атак является шифрование систем и кража конфиденциальной информации с целью получения денежной выгоды. Защита от этих атак включает в себя защиту серверов баз данных, использование сложных паролей, обновление мер безопасности и контроль внешнего доступа через брандмауэры.
-----

Злоумышленники Trigona ransomware устанавливают программу-вымогатель Mimic на серверы MS-SQL.

Нападения продолжаются по меньшей мере с июня 2022 года.

Программа-вымогатель Mimic изначально была установлена с использованием BCP, но позже была обнаружена программа-вымогатель Trigona.

Адреса электронной почты в уведомлениях о выкупе отличаются у двух программ-вымогателей.

Считается, что за атаками программ-вымогателей Trigona и Mimic стоит один и тот же злоумышленник.

Обе программы-вымогатели используют алгоритмы шифрования RSA и AES.

Программа-вымогатель Trigona нацелена на серверы MS-SQL и использует уязвимости, такие как CVE-2021-40539.

Программа-вымогатель Mimic злоупотребляет программой поиска файлов под названием Everything и включает в себя функции программы-вымогателя Conti.

Основной целью являются неправильно управляемые и уязвимые серверы MS-SQL.

Злоумышленники используют команды PowerShell или злоупотребляют SQLPS для загрузки вредоносного ПО.

Вредоносный код, включая программы-вымогатели Trigona, AnyDesk и Mimic, экспортируется с помощью команд BCP.

Злоумышленники-вымогатели Trigona используют Mimikatz для кражи учетных данных.

AnyDesk установлен для удаленного управления зараженными системами.

Злоумышленник использовал безопасный режим и создал вредоносную программу запуска и переадресации портов.

Злоумышленники-вымогатели Trigona все чаще используют в своих атаках имитирующие программы-вымогатели.

Атаки методом перебора и по словарю следует предотвращать, используя сложные пароли.

Регулярное обновление мер безопасности и контроль внешнего доступа через брандмауэры имеют решающее значение.

#ParsedReport #CompletenessLow
22-01-2024

Lazarus DLL-Side Loading (2)

https://asec-ahnlab-com.translate.goog/ko/60470/?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US&_x_tr_pto=wapp

Report completeness: Low

Actors/Campaigns:
Lazarus

Threats:
Dll_sideloading_technique
Spear-phishing_technique
Supply_chain_technique
Lazarloader

Victims:
Domestic companies, Institutions, Think tanks

TTPs:

ChatGPT TTPs:
do not use without manual check
T1574.002, T1216, T1566.001, T1195

IOCs:
File: 3
Path: 2
Hash: 2

Win API:
GetSystemFirmwareTable

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея из текста заключается в том, что компания по кибербезопасности AhnLab Security Intelligence Center (ASEC) обнаружила новый вариант метода атаки с боковой загрузкой DLL, используемого атакующей группой Lazarus. Lazarus, высококвалифицированная и опасная группа продвинутых постоянных угроз (APT), нацелена на различные организации по всему миру. Конкретный вариант предполагает использование обычной программы wmiapsrv.exe, которая загружает модифицированные библиотеки DLL, wbemcomn.dll и netutils.библиотеки dll, действующие как бэкдоры для вредоносных действий. Группа Lazarus применяет целенаправленные подходы и использует системную информацию для расшифровки и выполнения вредоносных действий. Организациям рекомендуется проявлять бдительность в отношении таких угроз.
-----

Аналитический центр безопасности AhnLab (ASEC) недавно обнаружил новый вариант метода атаки с боковой загрузкой DLL, используемого группой атаки Lazarus. Lazarus - это группа продвинутых постоянных угроз (APT), известная тем, что нацелена на различные организации, такие как компании, учреждения и аналитические центры. Открытие было сделано с помощью инфраструктуры AhnLab под названием AhnLab Smart Defense (ASD) 12 января 2024 года.

Загрузка на стороне DLL (T1574.002 Hijack Execution Flow: Загрузка на стороне DLL) - это метод, обычно используемый группой Lazarus на начальных этапах проникновения и выполнения вредоносных программ в своих атаках. Этот метод предполагает размещение обычного приложения и вредоносной библиотеки динамических ссылок (DLL) в одном пути к папке. При запуске приложения вредоносная библиотека DLL выполняется вместе с ним, действуя как форма выполнения вредоносного кода.

Недавно выявленная обычная программа, используемая Lazarus, - это wmiapsrv.exe, законный модуль Microsoft, который загружает wbemcomn.dll. Однако группа Lazarus изменила эту библиотеку DLL, а также включила другую вредоносную библиотеку DLL с именем netutils.dll в том же пути к папке. Эти модифицированные библиотеки DLL служат в качестве бэкдоров, позволяя злоумышленникам выполнять вредоносные действия в скомпрометированной системе.

Wbemcomn.dll , в частности, включает процедуру проверки цели заражения. Эта процедура использует значение результата вызова API GetSystemFirmwareTable, которое содержит уникальную системную информацию. Значение результата затем используется для расшифровки зашифрованной строки, найденной в области ресурсов wbemcomn.dll. Расшифрованное значение соответствует пути к файлу, который необходимо загрузить, что запускает дальнейшие вредоносные действия.

Такой целенаправленный подход указывает на то, что группа Lazarus стремится работать исключительно в определенных системах. Процесс расшифровки основан на результате вызова API GetSystemFirmwareTable, что делает невозможным выполнение предполагаемых вредоносных действий в системах с другой информацией о пути к файлу.

Lazarus известна как одна из самых опасных и глобально активных групп APT. Они используют различные векторы атак, включая точечный фишинг и атаки на цепочки поставок. AhnLab диагностировала этот конкретный вариант вредоносного ПО и советует организациям проявлять бдительность в отношении таких угроз.

Таким образом, было замечено, что Lazarus использует метод боковой загрузки DLL с помощью обычной программы под названием wmiapsrv.exe. Эта программа загружает модифицированные библиотеки DLL, wbemcomn.dll и netutils.dll, которые служат бэкдорами для вредоносных действий. Процедура проверки в wbemcomn.библиотека dll полагается на системную информацию, полученную с помощью вызова API GetSystemFirmwareTable. Группа Lazarus обладает высокой квалификацией и использует несколько векторов атак, что представляет значительную угрозу для организаций по всему миру.

#ParsedReport #CompletenessLow
23-01-2024

GitGot: GitHub leveraged by cybercriminals to store stolen data

https://www.reversinglabs.com/blog/gitgot-cybercriminals-using-github-to-store-stolen-data

Report completeness: Low

Threats:
Supply_chain_technique
R77rk_tool
Empire_loader
Mimikatz_tool
Seroxen_rat
Iamreboot

ChatGPT TTPs:
do not use without manual check
T1539, T1105, T1095, T1195, T1566, T1503, T1555

IOCs:
File: 3
Hash: 44

Soft:
macOS, NuGet

Algorithms:
base64

Languages:
javascript

Links:
https://github.com/EmpireProject/Empire

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что кибератакеры все чаще используют менеджеры пакетов с открытым исходным кодом и связанную с ними инфраструктуру для осуществления атак на цепочки поставок вредоносного программного обеспечения. В частности, в тексте подчеркивается обнаружение двух вредоносных пакетов, warbeast2000 и kodiak2k, в менеджере пакетов с открытым исходным кодом npm, которые украли зашифрованные SSH-ключи Base64 из систем разработчиков. Украденные SSH-ключи хранились в репозиториях злоумышленников на GitHub. В тексте подчеркивается растущее число вредоносных пакетов, обнаруживаемых в менеджерах пакетов, и потенциальные последствия кражи SSH-ключей для безопасности. В нем также упоминается растущее использование таких платформ, как GitHub, злоумышленниками для размещения инфраструктуры командования и контроля. В заключение текст призывает разработчиков и организации сохранять бдительность и проводить тщательную оценку безопасности, прежде чем внедрять программное обеспечение от менеджеров пакетов.
-----

В менеджере пакетов с открытым исходным кодом npm были обнаружены два вредоносных пакета, warbeast2000 и kodiak2k.

В этих пакетах хранились украденные SSH-ключи, зашифрованные Base64, взятые из систем разработчиков.

Пакеты имели несколько версий, но были удалены с момента их идентификации.

Количество вредоносных пакетов в менеджерах пакетов с открытым исходным кодом выросло на 1300% в период с 2020 по конец 2023 года.

Пакет warbeast2000 содержал постинсталляционный скрипт, который извлекал и выполнял файл JavaScript, предоставляя SSH-ключ в контролируемый злоумышленником репозиторий GitHub.

Пакет kodiak2k продемонстрировал аналогичное поведение и выполнил скрипт из проекта GitHub, содержащего фреймворк Empire post-exploitation framework.

Кража SSH-ключей может предоставить доступ к репозиториям GitHub, создавая угрозу безопасности.

Злоумышленники используют программное обеспечение с открытым исходным кодом и инфраструктуру разработки, включая GitHub, для своих кампаний.

GitHub стал популярной платформой для размещения элементов вредоносной инфраструктуры управления.

Бдительность имеет решающее значение для выявления и смягчения угроз в общедоступных хранилищах.

Важно провести тщательную оценку безопасности перед использованием программного обеспечения или библиотек из менеджеров пакетов.

#ParsedReport #CompletenessMedium
23-01-2024

Threat Assessment: BianLian

https://unit42.paloaltonetworks.com/bianlian-ransomware-group-threat-assessment

Report completeness: Medium

Actors/Campaigns:
Bianlian (motivation: financially_motivated)

Threats:
Makop
Wildfire
Bianlian_ransomware
Advanced-port-scanner_tool
Proxyshell_vuln
Credential_dumping_technique
Bianlian_backdoor
Impacket_tool
Bianlian_encryptor

Victims:
Us healthcare sector, Us manufacturing sector, Eu healthcare sector, Eu manufacturing sector

Industry:
Healthcare

Geo:
California, Japanese, Russian, India, America

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1190, T1190, T1100, T1210, T1046, T1053

IOCs:
Hash: 58
IP: 34

Links:
https://github.com/fortra/impacket

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея из приведенного текста заключается в том, что группа вымогателей BianLian в настоящее время активна и нацелена на секторы здравоохранения и производства в Соединенных Штатах и Европе. Они изменили свою стратегию с шифрования данных жертв на их кражу и угрозу опубликовать их, если выкуп не будет выплачен. Группа реагирования на инциденты подразделения 42 отреагировала на многочисленные инциденты, связанные с программой-вымогателем BianLian, и рекомендует решения безопасности Palo Alto Networks для защиты от этой угрозы. Имеются признаки возможной связи между BianLian и группой программ-вымогателей Makop, основанные на общих тактиках и инструментах. BianLian group использует украденные учетные данные, использует уязвимости, нацеливается на поставщиков VPN и развертывает веб-оболочки для проникновения в сети. У них есть отдельные компоненты шифрования и бэкдора, причем теперь шифратор заменен пользовательским бэкдором. BianLian последовательно работает с 2022 года и фокусируется исключительно на вымогательстве без шифрования данных.
-----

Группа вымогателей BianLian была отмечена как одна из наиболее активных групп, основываясь на данных о местах утечек, собранных исследователями Unit 42. В первую очередь они нацелены на секторы здравоохранения и производства в Соединенных Штатах и Европе, и недавно они сменили свою стратегию со схемы двойного вымогательства на схему вымогательства без шифрования. Это означает, что они больше не шифруют данные жертв, а вместо этого крадут их и угрожают опубликовать, если не будет выплачен выкуп.

Группа реагирования на инциденты подразделения 42 отреагировала на несколько инцидентов, связанных с программой-вымогателем BianLian, начиная с сентября 2022 года. Клиенты Palo Alto Networks лучше защищены от этой программы-вымогателя благодаря использованию своих решений безопасности, таких как Cortex XDR, и облачных служб безопасности для брандмауэра следующего поколения.

Группа BianLian появилась в 2022 году и в первую очередь нацелена на секторы здравоохранения, производства, профессиональных и юридических услуг. Об их атаках сообщалось в Северной Америке, ЕС и Индии. Есть признаки возможной связи между BianLian и группой вымогателей Makop, поскольку они используют один и тот же настроенный инструмент и схожую тактику.

Во время своих атак группа BianLian использует украденные учетные данные протокола удаленного рабочего стола (RDP), использует уязвимости, такие как ProxyShell, нацеливается на поставщиков VPN и развертывает веб-оболочки для проникновения в корпоративные сети. Оказавшись внутри, они используют различные общедоступные инструменты для перемещения вбок и выполнения полезной нагрузки бэкдора. Они также используют тот же продвинутый инструмент сканирования портов, что и группа вымогателей Makop.

У BianLian group есть отдельные компоненты encryptor и backdoor в качестве конечной полезной нагрузки. Шифратор использовался для двойного вымогательства, но теперь был заменен пользовательским бэкдором, написанным на Go. Бэкдор служит загрузчиком для загрузки и выполнения дополнительной полезной нагрузки. И шифровальщик, и бэкдор были обнаружены и предотвращены модулем защиты от программ-вымогателей Cortex XDR от Palo Alto Networks.

С момента своего обнаружения в 2022 году группа BianLian была неизменно активна и доминировала в сфере киберугроз. Они адаптировали свою тактику, сосредоточившись исключительно на вымогательстве, оказывая давление на жертв, чтобы они платили выкуп, не шифруя их файлы. Существует также потенциальная связь с группой программ-вымогателей Makop, основанная на общих инструментах и поведении.

#ParsedReport #CompletenessMedium
23-01-2024

Kasseika Ransomware Deploys BYOVD Attacks, Abuses PsExec and Exploits Martini Driver

https://www.trendmicro.com/en_us/research/24/a/kasseika-ransomware-deploys-byovd-attacks-abuses-psexec-and-expl.html

Report completeness: Medium

Actors/Campaigns:
Blackmatter
Darkside

Threats:
Kasseika
Byovd_technique
Akira_ransomware
Blackbyte
Avoslocker
Blackcat
Jadtre
Pincav
Procmon_tool
Themida_tool
Cryptopp_tool

Victims:
Company with unidentified industry

Geo:
Francesca

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1192, T1078, T1021.001, T1059.003, T1490, T1070.001, T1058.001, T1543.003

IOCs:
File: 16
Registry: 1

Soft:
PsExec, ysinternals, ysinternals.co

Algorithms:
chacha20, base64

Win API:
CreateFileW, DeviceIoControl, ZwTerminateProcess, FindWindowA

#ParsedReport #ExtractedSchema

Classified images:
windows: 24, schema: 1, code: 6, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что программа-вымогатель Kasseika получила доступ к исходному коду программы-вымогателя BlackMatter, что позволяет предположить, что ею управляет опытный исполнитель. Программа-вымогатель Kasseika использует целенаправленный фишинг и средства удаленного администрирования для получения первоначального доступа к сетям. Она также использует законный протокол Windows RAT, PsExec, для запуска вредоносных файлов. Программа-вымогатель следует определенной процедуре для обеспечения бесперебойной работы, включая отключение средств защиты, передачу файлов и шифрование файлов с использованием шифрования ChaCha20. Она использует различные методы, такие как запутывание кода, чтобы затруднить анализ и обнаружение. Он также может стереть свои следы, очистив журналы системных событий, что затрудняет обнаружение его действий средствами безопасности.
-----

Программа-вымогатель Kasseika недавно получила доступ к исходному коду программы-вымогателя BlackMatter. Это говорит о том, что программа-вымогатель Kasseika управляется зрелым участником ограниченной группы, который либо приобрел, либо выкупил доступ к исходному коду BlackMatter. Стоит отметить, что BlackMatter изначально пришел из DarkSide и послужил основой для других групп программ-вымогателей.

В расследуемом случае с программой-вымогателем Kasseika для получения первоначального доступа к сети целевой компании использовались методы целевого фишинга. Кроме того, злоумышленники использовали средства удаленного администрирования (RATs) для получения привилегированного доступа и перемещения по сети.

Одной из интересных тактик, используемых программой-вымогателем Kasseika, является злоупотребление законным Windows RAT, называемым PsExec, для выполнения вредоносных файлов. Хотя PsExec был разработан для целей управления сетью, субъекты угроз могут злоупотреблять им для удаленного развертывания вредоносного файла .bat, как это наблюдалось в данном случае.

Чтобы обеспечить бесперебойную работу, программа-вымогатель Kasseika выполняет определенную процедуру. Она запускается с проверки наличия процесса с именем Martini.exe, завершая все найденные экземпляры, чтобы убедиться, что запущен только один экземпляр. Затем он проверяет наличие драйвера Martini.sys, используя уязвимости в нем для отключения средств безопасности. Вредоносная программа создает службу, загружает Martini.sys и сканирует активные процессы с помощью функции DeviceIoControl. Процессы, связанные с системным мониторингом, отслеживанием процессов и инструментами анализа, идентифицируются и завершаются. Файлы переносятся из общего сетевого ресурса в локальный каталог, а процессы, связанные с антивирусом, завершаются. Запускается двоичный файл программы-вымогателя, smartscreen_protected.exe, и выполняется файл clear.bat, чтобы стереть следы операции.

Чтобы затруднить анализ и обнаружение, программа-вымогатель Kasseika упакована с использованием Themida, инструмента, известного своими возможностями запутывания кода и защиты от отладки. Она также завершает процессы и службы, которые обращаются к диспетчеру перезапуска Windows перед шифрованием. Программа-вымогатель изменяет ключи реестра и перечисляет хэши сеансов для процессов и служб. Она удаляет теневые копии с помощью запросов WMIC и расшифровывает свое зашифрованное расширение, используя жестко закодированную строку и кодировку Base64. Алгоритм шифрования ChaCha20 с модифицированной матрицей, зашифрованный RSA, используется Kasseika. Зашифрованные файлы переименовываются, и в каждый каталог добавляется уведомление о выкупе. После шифрования меняются обои системы.

Программа-вымогатель Kasseika также обладает способностью уничтожать свои следы, очищая системные журналы событий с помощью команды wevutil.exe. Этот метод позволяет программе-вымогателю действовать незаметно, затрудняя средствам безопасности обнаружение вредоносных действий и реагирование на них.

#ParsedReport #CompletenessLow
23-01-2024

Blink-and-Update: All About Rhadamanthys Stealer

https://cyberint.com/blog/research/blink-and-update-all-about-rhadamanthys-stealer

Report completeness: Low

Threats:
Rhadamanthys
Lumma_stealer
Stealc
Riseprostealer
White_snake
Supply_chain_technique

Victims:
Users of notepad++, discord, telegram, and crypto wallet owners

TTPs:
Tactics: 7
Technics: 22

Soft:
Discord, Telegram, Google Chrome

Platforms:
x64, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4