#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в изощренной атаке с использованием программ-вымогателей, осуществленной злоумышленником CACTUS, который использовал уязвимости программного обеспечения для одновременной атаки на несколько компаний. Злоумышленники продемонстрировали синхронизацию и многогранные аспекты атаки, подчеркнув тенденцию нацеливания на уязвимости, а не на конкретные отрасли или компании. Злоумышленники использовали различные методы, включая развертывание средств удаленного доступа, эксфильтрацию данных и внедрение программ-вымогателей на конечных точках и виртуальных машинах. График атак раскрывает методический подход CACTUS, подчеркивающий важность быстрого исправления уязвимостей и надежных возможностей обнаружения и реагирования для организаций при защите от таких сложных угроз.
-----

Bitdefender Labs оказала помощь в расследовании, связанном с скоординированной атакой вымогателей со стороны threat actor CACTUS на две компании, которые быстро использовали уязвимости программного обеспечения после их раскрытия.

CACTUS нацелился на инфраструктуру виртуализации, зашифрованные виртуальные машины и продемонстрировал синхронизацию в своих атаках.

С 2022 года киберпреступники переходят к атакам на уязвимые места, а не на конкретные отрасли, и ожидается, что атаки будут усиливаться.

Атака началась с использования критической уязвимости в Ivanti MobileIron Sentry, которая позволила обойти средства аутентификации и привела к удаленному выполнению кода.

CACTUS использовал различные полезные нагрузки и методы, включая XMR-майнеры и веб-оболочки, что указывает на сотрудничество с такими субъектами угроз, как Kinsing.

Злоумышленники устанавливали соединения, сбрасывали пароли учетных записей, устанавливали средства удаленного доступа, извлекали данные и запускали атаки с использованием программ-вымогателей на конечные точки и виртуальные машины.

CACTUS использовал PsExec и пользовательские двоичные файлы, нацеленные на хосты Windows и ESXi, шифруя файлы с определенными расширениями и нарушая доступ к гипервизору.

После компрометации VictimA злоумышленники перешли к следующей цели, использовали пользовательские скрипты для обнаружения сети и эксфильтрации данных и получили учетные данные системного администратора для доступа к VPN.

Временная шкала атак программ-вымогателей продемонстрировала методичный подход от первоначального компрометации до эксфильтрации и шифрования данных, подчеркнув важность быстрого исправления уязвимостей и возможностей эффективного реагирования для организаций.

#ParsedReport #CompletenessMedium
28-02-2024

When Cats Fly: Suspected Iranian Threat Actor UNC1549 Targets Israeli and Middle East Aerospace and Defense Sectors. Prepare for 2024's cybersecurity landscape.

https://www.mandiant.com/resources/blog/suspected-iranian-unc1549-targets-israel-middle-east

Report completeness: Medium

Actors/Campaigns:
Unc1549 (motivation: cyber_espionage)
Dev-0343 (motivation: cyber_espionage)
Tortoiseshell (motivation: cyber_espionage)
Irgc

Threats:
Supply_chain_technique
Minibike
Minibus
Smokeloader
Credential_harvesting_technique
Spear-phishing_technique
Lightrail
Beacon

Victims:
Aerospace companies, Aviation companies, Defense contractors, It providers, Dji

Industry:
Aerospace, Education

Geo:
Iran, German, Iranian, Emirates, Albania, Turkey, India, Israelis, Israeli, Israel

ChatGPT TTPs:
do not use without manual check
T1566, T1110, T1566.002, T1190, T1547.001, T1071, T1027, T1574.002, T1047, T1090, have more...

IOCs:
Domain: 141
Hash: 45
File: 26
Path: 6
Registry: 3
IP: 1

Soft:
outlook, Microsoft SharePoint, Microsoft OneDrive, Android

Algorithms:
zip, md5

Platforms:
x64

Links:
https://github.com/codewhitesec/Lastenzug

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста связана с докладом Mandiant о предполагаемой шпионской деятельности, связанной с Ираном, направленной против аэрокосмической, авиационной и оборонной промышленности в странах Ближнего Востока. Кампания, приписываемая иранскому субъекту UNC1549, направлена на компрометацию цепочек поставок, нацеливаясь на оборонных подрядчиков и ИТ-провайдеров, используя вредоносные бэкдоры и облачную инфраструктуру. Злоумышленники применяли различные методы уклонения и делились тактикой с другими участниками угроз, связанными с Ираном, демонстрируя сложную и продолжающуюся вредоносную деятельность.
-----

Компания Mandiant опубликовала сообщение в блоге с подробным описанием предполагаемой шпионской деятельности, связанной с Ираном, направленной против аэрокосмической, авиационной и оборонной промышленности в странах Ближнего Востока, включая Израиль, ОАЭ и, возможно, Турцию, Индию и Албанию. Эта кампания, с умеренной уверенностью приписываемая иранскому субъекту UNC1549, который пересекается с Tortoiseshell - субъектом угрозы, связанным с Корпусом стражей Исламской революции Ирана (КСИР), направлена на компрометацию цепочек поставок, нацеливаясь на оборонных подрядчиков и ИТ-провайдеров.

Активность, наблюдаемая Mandiant, продолжается, по крайней мере, с июня 2022 года и продолжает сохраняться по состоянию на февраль 2024 года. Злоумышленники применяли различные методы уклонения, в том числе широко использовали облачную инфраструктуру Microsoft Azure и схемы социальной инженерии для распространения двух уникальных бэкдоров под названием MINIBIKE и MINIBUSUS. UNC1549 разработала более 125 поддоменов Azure command-and-control (C2), подчеркивая широкомасштабный характер таргетинга, который выходит за пределы Ближнего Востока.

Кампания использует приманки на тему работы и поддельные веб-сайты для доставки вредоносной полезной нагрузки целям, уделяя значительное внимание организациям, связанным с обороной в аэрокосмическом и авиационном секторах. Посредством детального анализа Mandiant выявила оперативную тактику, методы и процедуры (TTP), используемые UNC1549, которые включают в себя сложные вредоносные действия, ранее не связанные с Ираном.

Ключевые результаты указывают на связь между UNC1549, Tortoiseshell и Smoke Sandstorm/BOHRIUM с общей тактикой, такой как использование .Сетевых приложений для доставки вредоносных программ и использование поддельных веб-сайтов в злонамеренных целях. Усилия кампании, направленные на то, чтобы остаться незамеченными, включают использование облачной инфраструктуры для коммуникаций C2 и использование обманчивых схем присвоения доменных имен, чтобы слиться с законным сетевым трафиком.

Анализ вредоносных программ, проведенный Mandiant, выявил два основных бэкдора, использовавшихся в кампании: MINIBIKE и МИКРОАВТОБУС. MINIBIKE, действующий как минимум с июня 2022 года, обеспечивает полную функциональность бэкдора, в то время как MINIBUS, представленный примерно в августе 2023 года, предлагает более продвинутые функции разведки и гибкий интерфейс выполнения кода. Кроме того, был замечен туннелировщик, известный как LIGHTRAIL, имеющий сходство с минибайком и МИКРОАВТОБУСОМ и указывающий на скоординированные операции в рамках кампании UNC1549.

#ParsedReport #CompletenessLow
28-02-2024

Beware the Shallow Waters: Savvy Seahorse Lures Victims to Fake Investment Platforms Through Facebook Ads

https://blogs.infoblox.com/cyber-threat-intelligence/beware-the-shallow-waters-savvy-seahorse-lures-victims-to-fake-investment-platforms-through-facebook-ads

Report completeness: Low

Threats:
Savvy_seahorse_actor
Agent_tesla
Cringe_rat
Prolific_puma
Vextrio
Blackrock

Industry:
Petroleum, Telco, Financial

Geo:
Spanish, Nigerian, Russia, Afghanistan, Nigeria, Fiji, Italian, Turkish, French, Tonga, Russian, Moldova, Ukraine, Canadian, Polish, India, German, Czech, Zambia, Japan

ChatGPT TTPs:
do not use without manual check
T1566, T1583, T1568, T1071, T1199, T1020, T1110

IOCs:
Domain: 143
IP: 1

Soft:
ChatGPT, WhatsApp, Android

Languages:
javascript

Platforms:
apple

Links:
https://github.com/infobloxopen/threat-intelligence/tree/main/indicators

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, chart: 1, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - об исполнителе угроз DNS по имени Savvy Seahorse, который проводит сложные кампании по финансовому мошенничеству, используя инновационные методы, такие как использование записей CNAME в качестве системы распределения трафика, чтобы избежать обнаружения. Злоумышленник использует различные тактики, такие как создание поддельных инвестиционных платформ, использование поддельных чат-ботов, использование терминологии DNS, использование алгоритмов генерации доменов и внедрение процессов проверки регистрации для обмана пользователей и сбора финансовой информации с целью получения денежной выгоды.
-----

В тексте обсуждается исполнитель угроз DNS по прозвищу Savvy Seahorse, который специализируется на проведении сложных кампаний по финансовому мошенничеству с использованием инновационных методов. Метод работы Savvy Seahorse заключается в убеждении жертв создавать аккаунты на поддельных инвестиционных платформах, вносить депозиты на личный счет, а затем переводить эти депозиты в банк в России. Актер использует рекламу в Facebook для привлечения пользователей на свои веб-сайты, где они регистрируются на поддельных инвестиционных платформах, выдающих себя за такие известные компании, как Tesla, Facebook/Meta и Imperial Oil. Чтобы повысить доверие к своим кампаниям, Savvy Seahorse использует поддельных ботов ChatGPT и WhatsApp, которые предоставляют автоматические ответы пользователям, побуждая их делиться личной информацией в обмен на высокодоходные инвестиционные возможности.

Savvy Seahorse использует записи канонических имен DNS (CNAME) для создания системы распределения трафика (TDS) для своих мошеннических кампаний. Используя записи CNAME таким образом, субъект угрозы может динамически обновлять IP-адреса вредоносных кампаний и контролировать доступ к контенту, тем самым избегая обнаружения отраслью безопасности. Этот подход использования CNAMEs в качестве TDS, разработанного для вредоносных целей, является новой тактикой, о которой сообщает отрасль.

В документе объясняется различная терминология DNS, используемая в контексте анализа угроз, такая как доменное имя, базовый домен, поддомен и имя хоста, чтобы помочь в понимании технических аспектов деятельности субъекта угроз. В нем подчеркивается использование записей CNAME в DNS для создания псевдонимов для доменных имен и улучшения управления конфигурацией DNS.

Savvy Seahorse использует алгоритм генерации доменов (DGA) для создания псевдослучайных поддоменов, связанных с доменами основной кампании, что позволяет злоумышленнику проводить несколько мошеннических кампаний под различными поддоменами. Злоумышленник использует DNS-записи с подстановочными знаками и регулярно меняет IP-адреса, чтобы сохранить скрытность и избежать обнаружения средствами безопасности.

В тексте описывается сложный процесс проверки регистрации, используемый Savvy Seahorse для исключения трафика из определенных стран и обеспечения законности пользовательской информации. Злоумышленник предлагает пользователям пополнять свои кошельки через различные платежные источники, включая Visa/Mastercard и российских платежных провайдеров, с требуемой минимальной суммой депозита. Финансовая информация, собранная от жертв, направляется в домены обработки платежей, а транзакции направляются в Сбербанк, российский банк, демонстрируя нацеленность злоумышленника на получение денежной выгоды.

Кампании Savvy Seahorse охватывают несколько языков и используют различные методы привлечения, включая выдачу себя за известные бренды, такие как Apple, и использование чат-ботов для взаимодействия с пользователями. Кампании направлены на то, чтобы обманом заставить пользователей предоставлять личную и финансовую информацию, что в конечном итоге приводит к мошенническим действиям.

#ParsedReport #CompletenessLow
29-02-2024

Spreading MSIX malware disguised as Notion installation file

https://asec.ahnlab.com/ko/62324

Report completeness: Low

Threats:
Lumma_stealer
Process_hollowing_technique
Trojan/win.generic.c5557471

ChatGPT TTPs:
do not use without manual check
T1204, T1059, T1071, T1105, T1547, T1112, T1055, T1566

IOCs:
File: 6
Url: 13
Hash: 3

Soft:
Windows installer, Slack

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея:.
Появилась новая угроза, связанная с вредоносным ПО MSIX, замаскированным под установочный файл Notion, нацеленным на ничего не подозревающих пользователей через обманчивый сайт распространения, имитирующий законную домашнюю страницу Notion. Вредоносная программа устанавливается вместе с подлинным программным обеспечением Notion, устанавливая соединения с сервером управления для выполнения команд PowerShell и кражи конфиденциальных данных. Вредоносное программное обеспечение, идентифицированное как LummaC2, работает скрытно в системе Windows installer service host, подчеркивая важность осторожности пользователей при загрузке файлов и проверке подлинности. В тексте также подчеркивается необходимость повышенной бдительности в области кибербезопасности в отношении меняющихся тактик, используемых киберпреступниками.
-----

Появилась новая угроза, связанная с вредоносной программой MSIX, замаскированной под установочный файл Notion, которая обманом заставляет пользователей загружать вредоносное программное обеспечение.

В процессе установки вредоносного ПО создаются два критически важных файла: StartingScriptWrapper.ps1 и refresh.ps1, причем последний содержит вредоносную полезную нагрузку.

Файл refresh.ps1 подключается к серверу управления для загрузки и выполнения дополнительных команд PowerShell.

В ходе анализа была идентифицирована вредоносная программа LummaC2, способная красть конфиденциальные данные и скрытно работать на узле службы установки Windows.

Пользователям рекомендуется проверять подлинность домена при загрузке файлов и тщательно проверять подписи издателей, чтобы оставаться защищенными.

Индикаторы угроз, связанные с этой кампанией, включают хэши MD5 для задействованных вредоносных файлов.

Осторожность и бдительность необходимы при обращении с исполняемыми файлами, поскольку киберпреступники постоянно совершенствуют свою тактику обмана и компрометации систем.

#ParsedReport #CompletenessMedium
01-03-2024

Beware the Bait: Java RATs Lurking in Tax Scam Emails

https://www.esentire.com/blog/beware-the-bait-java-rats-lurking-in-tax-scam-emails

Report completeness: Medium

Threats:
Rattyrat
Sorillus
Smuggling_technique

Geo:
Apac, Emea, America

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1059, T1105, T1027, T1112, T1547, T1562, T1489, T1056, have more...

IOCs:
File: 4
Hash: 6
IP: 2
Url: 2

Algorithms:
zip, base64, md5

Languages:
java

Links:
https://github.com/esThreatIntelligence/iocs/blob/main/SorillusRAT\_RattyRAT/SorilusRAT\_RattyRAT\_iocs.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста посвящена подразделению реагирования на угрозы eSentire (TRU) и их усилиям по повышению устойчивости организации с помощью упреждающих мер кибербезопасности, в частности, фишинговой кампании, нацеленной на организации во время налогового сезона с помощью вредоносного ПО удаленного доступа на базе JAVA (RAT). В тексте освещается тактика, используемая участниками угроз, проблемы обнаружения, важность стратегий защиты и необходимость принятия надежных мер безопасности для снижения рисков, связанных с такими угрозами.
-----

Налоговый сезон выделяется как критический период для организаций, поскольку он порождает угрозы кибербезопасности финансовой тематики из-за шквала действий, связанных с налогообложением. Субъекты угроз извлекают выгоду из этой возможности для проведения фишинговых атак, используя возросшую срочность и объем сообщений, связанных с налогами. В начале февраля 2024 года eSentire TRU раскрыла фишинговую кампанию в секторе бизнес-услуг, в которой использовались налоговые темы. Эта кампания включала распространение вредоносных программ-троянцев удаленного доступа на базе JAVA (RAT), в частности Ratty RAT и Sorillus RAT.

В первом наблюдаемом случае злоумышленники использовали контрабанду HTML для доставки вредоносной полезной нагрузки. HTML-вложение содержало двоичный объект в кодировке Base64, который декодировался в случайный текст, а также встроенный URL-адрес, содержащий вредоносный ZIP-архив с именем Tax_documents_PDF.zip, в котором размещалась крыса Sorillus. Во втором случае речь шла о ZIP-файле с именем 2023-FILES-MY1040-w2-IRS-letter-1099r_PDF.zip, который содержал вредоносную программу Ratty RAT. Ratty RAT, RAT на базе Java, разработанный человеком, известным как Sogomn, позволяет субъектам угроз выполнять различные вредоносные действия, включая захват экрана, настройку чата и кейлоггера, установление персистентности и функции манипулирования хостом.

Эта фишинговая кампания стратегически нацелена на организации из разных секторов во время налогового сезона, чтобы воспользоваться возросшей активностью и срочностью переписки, связанной с налогами. Использование HTML-контрабанды помогает злоумышленникам обходить традиционные механизмы обнаружения, кодируя вредоносную полезную нагрузку во вложениях HTML. Использование нескольких полезных программ, таких как Sorillus RAT и Ratty RAT, подчеркивает гибкость атакующих и проблемы в усилиях по обнаружению. Наличие вредоносных программ с открытым исходным кодом, таких как Ratty RAT, подчеркивает постоянную угрозу, исходящую от таких инструментов, что требует надежных стратегий защиты. Использование ZIP-файлов для доставки вредоносных программ и последующего запуска Ratty RAT подчеркивает важность оперативных мер безопасности, включая обучение пользователей и решения для сканирования электронной почты для снижения рисков, связанных с вредоносными вложениями.

#ParsedReport #CompletenessMedium
01-03-2024

Securonix Threat Research Knowledge Sharing Series: Batch (DOS) Obfuscation or DOSfuscation: Why It s on the Rise, and How Attackers are Hiding in Obscurity

https://www.securonix.com/blog/securonix-threat-research-knowledge-sharing-series-batch-obfuscation

Report completeness: Medium

Actors/Campaigns:
Steep_maverick

Threats:
Dosfuscation_technique
Villain_tool
Hoaxshell_tool
Batcloak_tool
More_eggs
Underground_team_ransomware
Trickbot
Ocxharvesters
Seroxen_rat
Asyncrat
Yourcyanide
Batloader
Charmingcypress
Redline_stealer
Revshell_tool

TTPs:
Tactics: 2
Technics: 5

IOCs:
File: 6
Path: 1
Url: 3

Soft:
curl, Windows Defender, Sysinternals

Algorithms:
zip

Languages:
php, powershell, python

Links:
https://github.com/danielbohannon/Invoke-Obfuscation
https://github.com/bobby-tablez/Py-BATCH-Fuscator

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея:.
Субъекты киберугроз все чаще используют запутанные пакетные сценарии, известные как пакетная обработка (DOS) или DOSfuscation, для обхода методов обнаружения антивирусного программного обеспечения и аналитиков центра управления безопасностью (SOC), при этом некоторые вредоносные кампании используют сложные методы запутывания, чтобы избежать обнаружения и повысить эффективность. Эксперты по безопасности должны использовать методы деобфускации для эффективного анализа этих развивающихся киберугроз и борьбы с ними.
-----

Субъекты киберугроз все чаще используют запутанные пакетные сценарии, тенденцию, известную как пакетная обработка (DOS) или DOSfuscation, чтобы обойти механизмы обнаружения, такие как антивирусное программное обеспечение и аналитики центра управления безопасностью (SOC). Несмотря на доступность более надежных платформ для выполнения кода, таких как PowerShell, субъекты угроз выбирают cmd.exe из-за отсутствия встроенной поддержки пакетных сценариев в Windows Antimalware Scan Interface (AMSI). Запутывание команд в пакетных сценариях направлено на то, чтобы избежать обнаружения, представляя собой простой, но эффективный метод для злоумышленников снизить вероятность попадания антивируса во время первоначального выполнения кода.

Кампании вредоносных программ часто используют запутанные DOS/пакетные сценарии, выполняемые на начальном этапе цепочки атак. Пример включает отправку фишингового электронного письма с вложенным вредоносным zip-файлом, содержащим файл быстрого доступа, который ведет к cmd.exe с добавленным запутанным кодом при открытии. Этот метод широко распространен в семействах вредоносных программ, таких как CharmingCypress, где используется запутанный пакетный код. Методы запутывания варьируются от простого разделения строк до более продвинутых методов, требующих переменных окружения и извлечения индекса переменной.

RedLine Stealer, распространенный штамм вредоносного ПО, использует сложный метод пакетной обфускации, который включает в себя создание переменных окружения и манипулирование кодировкой. В некоторых случаях вредоносная полезная нагрузка кодируется с использованием таких методов, как изменение кодировки файла на UTF-16 LE, которая может быть деобфускирована с помощью онлайн-инструментов или помощи скрипта. Фреймворки Villain и Hoaxshell были расширены для поддержки строк подключения на основе CMD, что повысило их эффективность при обходе антивирусных обнаружений, особенно в сочетании с дополнительными уровнями запутывания.

Таким образом, использование запутанных пакетных сценариев в кампаниях вредоносного ПО служит тактикой уклонения от механизмов обнаружения, подчеркивая постоянную адаптацию и изощренность субъектов киберугроз в обходе средств контроля безопасности. Обнаружение и анализ запутанных скриптов требуют специальных знаний в области методов деобфускации, чтобы разгадать намерения скриптов и эффективно смягчить потенциальные киберугрозы.

#ParsedReport #CompletenessLow
01-03-2024

XRed Backdoor: The Hidden Threat in Trojanized Programs

https://www.esentire.com/blog/xred-backdoor-the-hidden-threat-in-trojanized-programs

Report completeness: Low

Actors/Campaigns:
Sea_turtle

Threats:
Xred
Njrat

Industry:
Education

Geo:
Turkish, America, Apac, Emea

ChatGPT TTPs:
do not use without manual check
T1193, T1053, T1060, T1091, T1027, T1059, T1112, T1204

IOCs:
File: 6
Hash: 92
Domain: 2
Path: 2
Registry: 1
Url: 10
Email: 3

Algorithms:
md5

Functions:
GetCMDAccess, GetScreenImage

Win API:
DeleteFile

Links:
https://github.com/esThreatIntelligence/iocs/blob/main/XRed%20Backdoor/xred\_backdoor\_iocs.txt
https://github.com/RussianPanda95/Yara-Rules/blob/main/XRed\_Backdoor/mal\_xred\_backdoor.yar

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что подразделение eSentire Threat Response Unit (TRU) выявило и нейтрализовало вредоносный бэкдор под названием XRed, который был активен как минимум с 2019 года и был замаскирован под легальное программное обеспечение. Анализ выявил возможности бэкдора, методы доставки и характеристики разработчика.
-----

В начале февраля TRU обнаружила вредоносный бэкдор под названием XRed, замаскированный под Synaptics.exe, программное обеспечение, связанное с функциональностью сенсорной панели. Этот бэкдор был активен как минимум с 2019 года и был обнаружен и помещен на карантин службой MDR eSentire.

Дальнейшее расследование показало, что бэкдор XRed был установлен с использованием троянского программного обеспечения и обладал заметными возможностями сохранения и распространения. Функциональность бэкдора включала сбор системной информации, такой как MAC-адрес, имя пользователя и название компьютера, передачу данных злоумышленникам по протоколу SMTP и возможность ведения кейлоггинга с помощью подключения клавиатуры. Кроме того, бэкдор XRed мог распространяться через USB-накопители, создавая файлы autorun.inf. Он также включал встроенный защищенный паролем скрипт VBA, который манипулировал существующими файлами XLSM, вводил вредоносный код и отключал предупреждения безопасности для макросов VBA. Анализ показал, что разработчик этого бэкдора, скорее всего, был носителем турецкого языка, учитывая присутствие турецкого языка в коде.

Использование бэкдором файлов autorun.inf для использования функции автозапуска в старых версиях Windows подчеркнуло необходимость защиты устаревших систем и отключения устаревших функций, которые могут быть использованы вредоносными программами. Манипуляции встроенного скрипта VBA с XLSM-файлами и тактика социальной инженерии подчеркнули важность программ обучения пользователей для снижения риска заражения вредоносными программами с помощью методов обмана.