#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ влияния утечек и инцидентов внутренней безопасности на группу программ-вымогателей LockBit, снижение их влияния с течением времени, проблемы, с которыми сталкиваются при поддержании филиалов, ключевых лиц, связанных с группой, и разработка нового, не зависящего от платформы варианта вредоносного ПО с маркировкой LockBit-NG-Разработчик сигнализирует о переходе к версии LockBit 4.0.
-----

Исследование, описанное в тексте, является результатом сотрудничества между автором и Национальным агентством по борьбе с преступностью Соединенного Королевства, направленного против группы программ-вымогателей LockBit, в рамках операции Cronos - международных усилий, направленных на подрыв деятельности преступных организаций. Группа LockBit столкнулась с внутренними инцидентами безопасности, вызванными утечками информации с участием недовольных разработчиков или членов группы, что привело к разоблачению их разработчика программ-вымогателей в сентябре 2022 года. Утечка этой сборки оказала значительное влияние, поскольку способствовала появлению групп подражателей, таких как Flamingo и Spacecolon, которые использовали утечку полезной нагрузки LockBit, усложняя атрибуцию и ослабляя технические преимущества LockBit.

Утечка сборки также снизила барьер для входа преступников в свои предприятия RaaS путем клонирования операции LockBit, что создает проблемы с атрибуцией. Репутация бренда LockBit пострадала после утечки, что вызвало опасения по поводу их внутренних мер безопасности и снижения доверия со стороны аффилированных лиц. Усилия LockBit по удержанию и привлечению партнеров столкнулись с такими препятствиями, как технические проблемы, отсутствие инноваций, операционные задержки и неблагоприятные правила для партнеров. Кроме того, LockBitSupp подверглась пристальному вниманию общественности в январе 2024 года после обвинений в отказе платить за доступ, что привело к выплате средств вымогателями, в ответ на что они проявили предполагаемое высокомерие, которое потенциально нанесло ущерб их репутации и отношениям.

Подтвержденные данные о взломах указывают на устойчивое снижение воздействия программ-вымогателей LockBit за последние два года, несмотря на сохранение заметного положения среди наборов вторжений со значительным количеством атак. Переход от LockBit 2.0 к LockBit 3.0 был отмечен снижением доли, при этом небольшой рост наблюдался в четвертом квартале 2023 года, что объясняется усилением деятельности правоохранительных органов в отношении конкурирующих групп. В этот период LockBit предоставляла возможности филиалам перейти к своей деятельности.

В тексте рассматриваются ключевые лица, связанные с группой LockBit, включая псевдонимы и персонажей, таких как LockBit, LockBitSupp, Bassterlord и wazawaka. Примечательно, что Bassterlord, видная фигура в сообществе киберпреступников, по-видимому, связана с LockBit и причастна к громким атакам. В тексте также упоминается принадлежность вазаваки к LockBit и их обвинительное заключение Министерством юстиции США в мае 2023 года. Неизвестный субъект, Ali_qushji, утверждал, что скомпрометировал серверную инфраструктуру LockBit, хотя LockBitSupp оспорил это утверждение, приписав утечку недовольному разработчику, известному как protonleaks.

В тексте представлена новая эволюция LockBit, представленная не зависящим от платформы вариантом вредоносного ПО, находящимся в разработке, с надписью LockBit-NG-Dev, что означает работу группы над версией LockBit 4.0. Этот новый вариант использует .NET и CoreRT для улучшения совместимости с платформой, хотя его возможности в настоящее время меньше, чем в предыдущих версиях. LockBit-NG-Dev удалил самораспространяющиеся функции и сложные механизмы управления, чтобы усилить оперативный контроль и избежать обнаружения системами безопасности.

#ParsedReport #CompletenessLow
23-02-2024

Rhysida Ransomware Group, Which Crippled the British Library Racking Up 6 to 7 Million in Recovery Costs, Turns Its Wrath on Hospitals, Power Plants, and Schools in the UK, Europe, and the Middle East, Warns eSentire

https://www.esentire.com/blog/rhysida-ransomware-group-turns-its-wrath-warns-esentire

Report completeness: Low

Actors/Campaigns:
Vice_society (motivation: financially_motivated)

Threats:
Rhysida
Lockbit
Clop
X-ray_tool
Process_injection_technique
Nltest_tool
Putty_tool
Anydesk_tool
Zerologon_vuln

Victims:
British library, Hse, King edward vii’s hospital, Prospect medical holdings, World council of churches, A high school in london, A vocational training school in the u.k., Kaunas university of technology, Tshwane university of technology, Abdali hospital, have more...

Industry:
Healthcare, Military, Education, Government, Financial, Energy

Geo:
England, America, Italy, Slovenia, Apac, Africa, Switzerland, Lithuania, Hungary, Emea, Jordan, Serbia, Qatar, London

ChatGPT TTPs:
do not use without manual check
T1486, T1485, T1496, T1567, T1071, T1027, T1087, T1059, T1046, T1021, have more...

IOCs:
File: 2

Soft:
Microsoft Teams

Crypto:
bitcoin

Algorithms:
chacha20

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста посвящена деятельности группы вымогателей Rhysida, которая проводила громкие кибератаки, нацеленные на различные организации, такие как Британская библиотека, медицинские учреждения, образовательные учреждения и глобальную религиозную организацию. Группа использует такие тактики, как двойное вымогательство, требуя от жертв выплаты выкупа, чтобы предотвратить раскрытие данных, что приводит к значительным сбоям, финансовым потерям и репутационному ущербу для жертв. Даны рекомендации по снижению риска атак программ-вымогателей, подчеркивающие важность надежных мер безопасности.
-----

Группа вымогателей Rhysida была вовлечена в серию громких кибератак, направленных против таких организаций, как Британская библиотека, медицинские учреждения, образовательные учреждения и даже глобальная религиозная организация. Группа использует такую тактику, как двойное вымогательство, требуя от жертв значительных выкупов, чтобы избежать раскрытия данных. Атаки Rhysida вызвали значительные сбои в работе и кражу данных, что привело к финансовым потерям и репутационному ущербу для жертв.

Атака группы на Британскую библиотеку в октябре 2023 года привела к выходу из строя библиотечных систем и краже значительного объема данных, включая личную информацию сотрудников. Злоумышленники продали украденные данные с аукциона в даркнете. Аналогичным образом, атака на крупнейшую энергетическую компанию Словении, HSE, была нацелена на ИТ-системы и привела к краже данных, причем участники угроз разместили подлинные документы на своем сайте утечки.

Ориентация Rhysida group на престижные медицинские учреждения, такие как больница короля Эдуарда VII в Лондоне и больница Абдали в Иордании, подчеркивает их внимание к конфиденциальным данным, включая истории болезни пациентов и информацию, относящуюся к членам королевской семьи. Злоумышленники угрожали опубликовать украденные данные, если выкуп не будет выплачен, что вызвало значительное беспокойство у пострадавших организаций.

Кроме того, атаки Rhysida распространяются на сектор образования: средние школы, профессионально-технические училища и университеты становятся жертвами утечек данных и требований выкупа. Скомпрометировав такие институты, как Всемирный совет церквей и Всемирная лютеранская федерация, группа продемонстрировала свою способность воздействовать на организации в глобальном масштабе.

В ответ на растущую угрозу, исходящую от группы Rhysida, исследователи кибербезопасности провели параллели между их тактикой, методами и процедурами (TTP) и группой вымогателей Vice Society. Обе группы нацелились на организации в секторах образования и здравоохранения, используя схожие методы для извлечения конфиденциальных данных и вымогательства у жертв финансовой выгоды.

Чтобы снизить риск атак программ-вымогателей, подобных тем, которые проводит Rhysida, предприятиям и государственным организациям рекомендуется принимать надежные меры безопасности. Рекомендации включают в себя создание автономных резервных копий критически важных файлов, применение многофакторной аутентификации, проведение регулярных тренингов по безопасности для сотрудников и обеспечение круглосуточного мониторинга сетевой активности. Кроме того, устранение внутренних уязвимостей, таких как использование известных слабостей, таких как Zerologon, имеет решающее значение для предотвращения несанкционированного доступа и утечки данных.

#ParsedReport #CompletenessMedium
23-02-2024

Nation-State Threat Actors Using Google Drive & XenoRAT

https://www.genians.co.kr/blog/nation-state

Report completeness: Medium

Threats:
Xenorat
Spear-phishing_technique
Exbyte_stealer
Hvnc_tool

Geo:
German, Korea, Usa, Korean, Germany, Gyeonggi-do, Canada

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1027, T1059, T1547, T1562, T1105, T1071, T1583, T1082, have more...

IOCs:
File: 21
Coin: 1
Email: 1
IP: 8
Domain: 18
Hash: 11

Soft:
Slack, WordPad

Algorithms:
gzip, base64, zip, md5

Win API:
decompress

Languages:
powershell

Links:
https://github.com/moom825/xeno-rat

#ParsedReport #ExtractedSchema

Classified images:
code: 4, schema: 4, windows: 9, dump: 1, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе сложной киберугрозы, нацеленной на Корею, включающей точечные фишинговые атаки, вредоносные команды PowerShell и использование настроенной версии инструмента удаленного управления XenoRAT. Злоумышленники использовали методы социальной инженерии, замаскировали вредоносные файлы и установили соединения с сервером управления в Германии. Анализ, проведенный Центром безопасности Genius, выявляет инфраструктуру угроз, прошлые действия, связанные с APT-атаками, и переход к безфайловым операциям с использованием команд PowerShell. Развертывание Genian EDR рекомендуется для раннего обнаружения угроз и реагирования на них с целью снижения потенциальных рисков.
-----

Центр безопасности Genius (GSC) обнаружил новую угрозу 3 января 2024 года, связанную с локализованными точечными фишинговыми атаками, нацеленными на Корею. Атака началась с рассылки электронных писем, содержащих актуальное содержание колонки мнений из различных СМИ в первый день нового года, замаскированных под сжатый ZIP-файл с новогодними поздравлениями. Злоумышленники пытались обмануть получателей, выдавая себя за знакомых и используя методы социальной инженерии для достижения максимальной эффективности. Сжатый файл с 10-значным уникальным паролем был передан по ссылке, чтобы обойти службы безопасности. После распаковки вредоносный файл LNK, замаскированный под документ DOCX, привел к файлу сценария PowerShell с именем "swolf-first.ps1.".

Посредством развертывания запланированной задачи, выдаваемой за обновление браузера MS Edge, злоумышленники запустили скрытые команды PowerShell. Впоследствии злоумышленник под именем учетной записи "fox tian" загрузил на Google Диск файл под названием "calc.txt", содержащий вредоносные инструкции PowerShell. Эти команды, направленные на сохранение файла RTF и распаковку данных в формате Gz, указывают на сложную стратегию атаки. Злоумышленники использовали настроенную версию средства удаленного управления XenoRAT, известную как "Пользовательский XenoRAT", для установления соединений с сервером C2 в Германии. XenoRAT обладает различными функциями удаленного управления, такими как доступ к веб-камере, регистрация ключей и появление BSOD, а также использует функцию скрытых виртуальных сетевых вычислений (HVNC).

Анализ, проведенный GSC, показал, что IP-адрес инфраструктуры угроз (159.100.29.38) базировался в Германии, с подключениями к корейскому электронному хостингу IC hosting и доменам, связанным с корейскими портальными компаниями и биржами виртуальных активов. Поисковая система criminal IP intelligence AI SPERA предоставила дополнительную информацию о прошлой деятельности IP. GSC также идентифицировала IP как адрес сервера C2 в ходе APT-атаки и обнаружила соединения с доменами, похожими на домены северокорейских организаций.

Атаки APT в Корее перешли к безфайловым операциям с использованием команд PowerShell, чтобы избежать обнаружения традиционными продуктами безопасности. Genian EDR, решение для обнаружения аномалий терминала и реагирования на них, позволяет на ранней стадии идентифицировать угрозы с помощью правил XBA, когда вредоносные команды PowerShell взаимодействуют с сетью. Отслеживая такие действия, как нештатные сетевые подключения к Google Диску и создание файлов документов, службы безопасности могут быстро и эффективно обнаруживать потенциальные угрозы и реагировать на них. Возможности Genian EDR расширяются до обнаружения подозрительных сетевых соединений с помощью команд PowerShell и модулей XenoRAT, обеспечивая улучшенную видимость для реагирования на инциденты и расследования угроз.

#ParsedReport #CompletenessMedium
22-02-2024

HijackLoader Expands Techniques to Improve Defense Evasion

https://cs-staging-2-www.crowdstrike.com/blog/hijackloader-expands-techniques

Report completeness: Medium

Actors/Campaigns:
Doppelgnger

Threats:
Hijackloader
Idat_loader
Process_hollowing_technique
Process_doppelganging_technique
Heavens_gate_technique
Cobalt_strike
Process_injection_technique

TTPs:

IOCs:
Url: 4
Path: 3
File: 4
Hash: 2

Algorithms:
xor

Functions:
Gate, WriteFileW

Win API:
RtlDecompressBuffer, NtWriteVirtualMemory, NtProtectVirtualMemory, CreateProcessW, NtReadFile, NtDelayExecution, NtCreateSection, NtMapViewOfSection, NtSuspendThread, NtGetContextThread, have more...

Platforms:
x64

Links:
https://github.com/hasherezade/transacted\_hollowing/blob/main/transacted\_file.cpp#L13C29
https://gist.github.com/Cr4sh/76b66b612a5d1dc2c614#file-wow64\_call-cpp-L61

#ParsedReport #ExtractedSchema

Classified images:
schema: 12, dump: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - обсуждение сложного варианта вредоносного ПО HijackLoader, известного как IDAT Loader, и его эволюционирующих методов обхода, позволяющих избежать обнаружения решениями безопасности. Исследователи CrowdStrike идентифицировали этот новый вариант, используя расширенные возможности обнаружения и машинное обучение. Вредоносная программа демонстрирует сложное многоступенчатое поведение, используя тактику уклонения, такую как удаление процесса, двойное проникновение и методы обхода перехвата, такие как Heaven's Gate. В тексте также подчеркивается, как вредоносная программа внедряет шелл-код в процессы, такие как cmd.exe, для скрытного выполнения вредоносных действий. CrowdStrike использует многоуровневый подход для обнаружения и предотвращения угроз, таких как HijackLoader, на ранних этапах цепочки атак, сопоставляя свою тактику с платформой MITRE ATT&CK для получения дополнительной информации.
-----

Усложняющийся вариант HijackLoader (IDAT Loader) все чаще используется злоумышленниками для развертывания дополнительных полезных нагрузок и инструментов.

HijackLoader использует передовые методы уклонения, чтобы избежать обнаружения решениями безопасности.

Исследователи CrowdStrike определили новый вариант, используя возможности машинного обучения и обнаружения на основе поведения.

Сложное многоэтапное поведение анализируемого образца HijackLoader, включая деобфускацию, проверку подключения, загрузку двоичного объекта конфигурации второго этапа, расшифровку, загрузку библиотеки DLL Windows и выполнение шеллкода второго этапа.

Методы уклонения, используемые вредоносной программой, такие как выдалбливание процесса, дублирование процесса, отцепление и обход перехвата в пользовательском режиме с использованием Heaven's Gate.

Внедрение последующего шелл-кода в cmd.exe процесс с помощью интерактивных методов опустошения процесса.

Запись окончательной полезной нагрузки в дочерний процесс logagent.exe с помощью шеллкода четвертого этапа с использованием метода обхода перехвата.

Многоуровневый подход CrowdStrike к обнаружению вредоносных программ, таких как HijackLoader, использующий возможности машинного обучения и обнаружения на основе поведения с помощью датчика CrowdStrike Falcon.

Сопоставление тактики, методов и процедур HijackLoader с платформой MITRE ATT&CK для получения информации о моделях поведения и методах, используемых вредоносным ПО.

#ParsedReport #CompletenessLow
23-02-2024

Doppelgnger NG \| Russian Cyberwarfare campaign

https://www.clearskysec.com/dg

Report completeness: Low

Actors/Campaigns:
Doppelgnger (motivation: cyber_espionage)
Fancy_bear (motivation: cyber_espionage)

Geo:
Ukraine, France, Russian, Germany, Israel

ChatGPT TTPs:
do not use without manual check
T1566, T1565, T1593, T1583, T1584

IOCs:
Domain: 183

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в раскрытии и анализе российской инициативы по ведению информационной войны под названием Doppelgnger NG, которая предполагает распространение ложной информации через поддельные веб-сайты и платформы социальных сетей в глобальном масштабе. Кампания была связана с российской группой кибершпионажа APT28, что свидетельствует о сотрудничестве между двумя организациями в манипулировании общественным мнением, влиянии на геополитическую динамику и достижении стратегических целей посредством тайных онлайн-операций. Эволюция и расширение Doppelgnger NG подчеркивают постоянную угрозу, исходящую от спонсируемых государством кампаний информационной войны, и проблемы в выявлении такой деятельности и противодействии ей.
-----

ClearSky Cyber Security и SentinelLabs обнаружили российскую операцию по ведению информационной войны "Doppelgänger NG", включающую распространение ложной информации по всему миру через поддельные веб-сайты и платформы социальных сетей.

Операции Doppelgänger NG возобновились в 2024 году с использованием новой инфраструктуры и были связаны с российской группой кибершпионажа APT28, что подразумевает сотрудничество между двумя организациями.

Кампания была нацелена на такие страны, как Соединенные Штаты, Германия, Израиль, Франция и Украина, используя более 150 доменов, на которых размещались сфабрикованные новости, для манипулирования общественным мнением.

Расширяя список своих жертв и используя новую инфраструктуру, Doppelgänger NG стремилась повлиять на ключевые заинтересованные стороны в стратегических странах, исказить реальность и усилить существующую напряженность.

Взаимосвязанный характер доменов и каналов социальных сетей в сети Doppelgänger NG предполагает систематические усилия по манипулированию общественным восприятием и посеянию раздора.

Многоаспектный подход кампании, включающий различные направления распространения ложной информации, создает серьезную проблему для эффективного противодействия онлайн-дезинформации.

Развивающаяся тактика Doppelgänger NG подчеркивает постоянную угрозу спонсируемых государством кампаний информационной войны, подчеркивая важность постоянной бдительности, сотрудничества и технологических достижений для смягчения последствий.

#ParsedReport #CompletenessLow
22-02-2024

Cisco Talos Blog. TikTok s latest actions to combat misinformation shows it s not just a U.S. problem

https://blog.talosintelligence.com/threat-source-newsletter-feb-22-2024

Report completeness: Low

Actors/Campaigns:
Volt_typhoon (motivation: information_theft, cyber_espionage)

Threats:
Chrysaor
Astaroth
Mekotio
Ousaban

Victims:
U.s. political system, Political opponents in poland, Blackberry, iphone, android device users, Indonesian iphone users, Communications, manufacturing, utility, it, education sectors, u.s. emergency services, Latin american and european targets

Industry:
Financial, Ics, Military, Government, Education, Energy

Geo:
Russian, China, Ghana, Indonesia, Greek, Africa, Ukraine, California, Greece, America, Emirates, Chinese, American, Poland, Ukrainian

ChatGPT TTPs:
do not use without manual check
T1566, T1190, T1588.002, T1027, T1562.001, T1608.002, T1499

IOCs:
Hash: 10
File: 6

Soft:
TikTok, Android

Algorithms:
md5

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - глобальная проблема дезинформации, продолжающееся злоупотребление правительствами шпионскими программами, киберугрозы, исходящие от продвинутых групп постоянных угроз, таких как Volt Typhoon, использование украинскими военными тактики радиоэлектронной борьбы и злоупотребление Google Cloud Run в кампаниях распространения вредоносных программ, нацеленных на жертв в Латинской Америке и Европа.
-----

Проблема дезинформации не ограничивается американской культурой, поскольку это глобальная проблема, затрагивающая все страны на различных платформах. Платформы социальных сетей, такие как TikTok, позволяют отдельным лицам непреднамеренно распространять фейковые новости без злого умысла. Эта проблема еще более усугубляется в США из-за их выдающегося политического ландшафта, который привлекает внимание мировой общественности. Распространение дезинформации во время выборов в одной стране может иметь последствия для выборов в других странах, подчеркивая взаимосвязанный характер дезинформации. Эта проблема является постоянной, и ее сложно устранить, как только она укоренится на платформе.

В качестве отдельного события Польша инициировала официальное расследование возможного неправомерного использования шпионского ПО Pegasus бывшими правительственными чиновниками. Целью расследования является определение того, использовало ли правительство "Закона и справедливости" (PiS) спорное шпионское ПО для слежки за политическими оппонентами и нацеливания на них. Сообщается, что группа NSO, создатели Pegasus, представила новый эксплойт под названием MMS Fingerprint, который позволяет пользователям собирать информацию с различных типов устройств без взаимодействия с пользователем. Кроме того, другому стартапу по разработке шпионского ПО под названием Variston грозит закрытие после того, как утечка эксплойтов нулевого дня в Google раскрыла его деятельность. Variston нацелился на устройства Apple, включая кампанию в Индонезии, и, как сообщается, часть его шпионского ПО была отправлена в Объединенные Арабские Эмираты.

Что касается кибербезопасности, базирующаяся в Китае группа advanced persistent threat (APT) под названием Volt Typhoon продолжает фильтровать конфиденциальную информацию из сетей операционных технологий (OT) по всему миру. Группа нацелилась на организации в различных секторах, включая связь, производство, коммунальные услуги, информационные технологии и образование, с недавним акцентом на критически важные сети в США. В частности, тайфун Volt проник в сеть экстренных служб города США и сети критически важной инфраструктуры в Африке, создавая риски нарушения производственных процессов или содействия будущим наступательным операциям против сетей ICS.

В ответ на российскую агрессию украинские военные используют тактику радиоэлектронной борьбы для противодействия боеприпасам с радарным и GPS-наведением, непреднамеренно вызывая сбои в измерениях GPS и перебои в обслуживании электросети. Совместные усилия инженеров и специалистов по безопасности из различных организаций сыграли важную роль в решении проблемы GPS для радиоэлектронной борьбы, способствуя стабилизации некоторых участков сети передачи данных Украины.

Более того, Google Cloud Run используется не по назначению в масштабных кампаниях по распространению вредоносных программ, нацеленных в первую очередь на жертв в Латинской Америке и Европе. Банковские трояны, такие как Astaroth, Mekotio и Ousaban, распространяются с помощью кампаний рассылки по электронной почте, причем с сентября 2023 года наблюдается увеличение их объема. Talos выпустила новые подписи ClamAV и правила Snort для борьбы с этими банковскими троянами и предупредила Google о необходимости устранения этой активности внутри облачного сервиса.

#ParsedReport #CompletenessLow
23-02-2024

Shadow Ops Exposed: Inside the Leak of China s i-Soon Cyber Espionage Empire

https://socradar.io/shadow-ops-exposed-inside-the-leak-of-chinas-i-soon-cyber-espionage-empire

Report completeness: Low

Actors/Campaigns:
Winnti (motivation: cyber_espionage)
Axiom
Earth_empusa (motivation: cyber_espionage)
Red_delta (motivation: cyber_espionage)
Ta428 (motivation: cyber_espionage)

Threats:
Empire_loader
Beacon

Victims:
Chinese citizens, Foreigners, Ethnic groups, Dissidents

Industry:
Financial, Government, Telco

Geo:
Philippines, Vietnam, India, Chinese, Egypt, Nepal, Mongolia, Kazakhstan, Korea, Taiwanese, Myanmar, Pakistan, Thailand, Kyrgyzstan, Rwanda, Indonesia, China, Afghanistan, Nigeria, Malaysia, Cambodia, Taiwan

ChatGPT TTPs:
do not use without manual check
T1001, T1566, T1583, T1595, T1590, T1204, T1543, T1589

IOCs:
Email: 1

Soft:
Android, Telegram, WeChat

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, table: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4