#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте освещается случай, когда участники угроз злоупотребляли широко используемыми приложениями, такими как программное обеспечение для резервного копирования restic, для эксфильтрации данных, подчеркивая необходимость мониторинга, расследования подозрительных действий и внедрения надежных мер кибербезопасности для эффективного обнаружения таких угроз в корпоративных сетях и реагирования на них.
-----

Huntress, поставщик MDR с широкой клиентской базой, столкнулся со случаями, когда злоумышленники злоупотребляли часто используемыми приложениями для вредоносных действий. В августе 2023 года аналитики Huntress выявили случай, когда приложение MegaSync использовалось для эксфильтрации данных. Впоследствии GBHackers опубликовали статью, в которой подробно описывались злоумышленники-вымогатели, использующие инструменты для извлечения данных, включая приложение для резервного копирования restic. После этого аналитик Huntress SOC проанализировал предупреждения с двух серверов Windows 2019 в сети клиента, показывающие подозрительное использование приложения restic backup для эксфильтрации данных.

Хронология расследования показала, что исполнитель угрозы использовал приложение резервного копирования restic, чтобы попытаться извлечь данные из инфраструктуры клиента, переименовав его в dns.exe. Субъект инициировал взаимодействие с определенными конечными точками в инфраструктуре, на что указывают сообщения DCOM/10028, связанные с system.exe. Затем субъект угрозы подключился к указанным доменам и загрузил архив, содержащий приложение резервного копирования restic, которое они позже запустили. Кроме того, анализ показал, что субъект угрозы получил доступ ко второй конечной точке с первой, где он попытался запустить приложение резервного копирования, не меняя его имени.

Приложение для резервного копирования, используемое злоумышленником, отличалось от законного программного обеспечения для резервного копирования, используемого в сети клиента. Примечательно, что перед попытками резервного копирования злоумышленник провел сканирование сети и кратко просмотрел содержимое файлов, таких как файлы CSV и PDF. Однако не было никаких свидетельств более широких разведывательных усилий до того, как исполнитель начал создавать резервные копии всего содержимого папки.

Этот инцидент подчеркивает важность мониторинга и расследования подозрительных действий, связанных с широко используемыми приложениями, такими как программное обеспечение для резервного копирования, в корпоративных сетях. Использование субъектом угрозы законных инструментов для вредоносных целей подчеркивает необходимость принятия надежных мер кибербезопасности для эффективного обнаружения таких угроз и реагирования на них. Подробный анализ хронологии расследования дает ценную информацию о тактике и методах, используемых участниками угроз для компрометации сетевой безопасности и извлечения конфиденциальных данных. Бдительность и упреждающий поиск угроз имеют решающее значение для выявления и смягчения последствий таких инцидентов безопасности для защиты активов организации и целостности данных. Специалисты по кибербезопасности должны постоянно адаптировать и усиливать свою защиту, чтобы опережать возникающие угрозы в постоянно меняющемся ландшафте угроз.

#ParsedReport #CompletenessLow
15-03-2024

CGSI Probes: ShadowSyndicate Group s Possible Exploitation of Aiohttp Vulnerability (CVE-2024-23334)

https://cyble.com/blog/cgsi-probes-shadowsyndicate-groups-possible-exploitation-of-aiohttp-vulnerability-cve-2024-23334

Report completeness: Low

Actors/Campaigns:
Shadowsyndicate

Threats:
Lockbit
Quantum_locker
Nokoyawa
Blackcat

Geo:
Germany, Spain

CVEs:
CVE-2024-23334 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: 5.9
X-Force: Patch: Official fix
Soft:
- aiohttp (<3.9.2)


ChatGPT TTPs:
do not use without manual check
T1190, T1595, T1588.002, T1486

IOCs:
IP: 5

Languages:
python

Links:
https://github.com/aio-libs/aiohttp/commit/1c335944d6a8b1298baf179b7c0b3069f10c514b

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении уязвимости обхода каталогов (CVE-2024-23334) во фреймворке Aiohttp, которая может быть использована участниками угроз, такими как группа ShadowSyndicate. В тексте подчеркивается важность применения исправлений безопасности для снижения рисков, связанных с уязвимостью, и приводятся подробные сведения о действиях по сканированию, выполняемых злоумышленниками, нацеленными на серверы, работающие на непатченных версиях Aiohttp.
-----

Недавно CGSI обнаружила потенциальное использование уязвимости Aiohttp группой ShadowSyndicate. В конце января 2024 года было выпущено исправление для системы безопасности, устраняющее уязвимость, затрагивающую версии aiohttp до версии 3.9.2. Выявленный недостаток безопасности, обозначенный как CVE-2024-23334, представляет собой уязвимость обхода каталогов в aiohttp, которая при успешном использовании может позволить удаленным злоумышленникам, не прошедшим проверку подлинности, получить доступ к конфиденциальной информации из различных файлов на сервере. Aiohttp - это широко используемая асинхронная клиент-серверная платформа HTTP, разработанная специально для asyncio и Python, которая удовлетворяет широкому спектру асинхронных задач благодаря своей гибкости и расширенным функциональным возможностям.

Сканер ODIN от Cyble выявил более 43 000 подключенных к Интернету экземпляров aiohttp по всему миру, с заметным присутствием, в частности, в таких странах, как Соединенные Штаты, Германия и Испания. Учитывая широкое распространение этих экземпляров, они являются основными мишенями для участников угроз. Настоятельно рекомендуется немедленное внедрение последних исправлений для снижения рисков, связанных с уязвимостью.

Уязвимость обхода каталогов в aiohttp (CVE-2024-23334) имеет рейтинг серьезности 7,5 в соответствии с системой оценки CVSS:3.1. Эта уязвимость затрагивает версии aiohttp, предшествующие версии 3.9.2, и создает значительные риски для безопасности, потенциально позволяя несанкционированный удаленный доступ к критически важной информации сервера.

29 февраля 2024 года CGSI инициировала обнаружение множественных операций сканирования, нацеленных на уязвимость CVE-2024-23334, и впоследствии такие попытки сканирования продолжались. Изображение, опубликованное CGSI, иллюстрирует наблюдаемые действия по атаке на датчик.

Aiohttp, являясь библиотекой / фреймворком Python с открытым исходным кодом, адаптированной для асинхронных функций HTTP клиент/сервер, требует тщательной настройки при установке веб-серверов и определении статических маршрутов для файловой службы, чтобы указать точный корневой каталог статических файлов.

При анализе действий сканирования, выявленных с помощью платформы Cyble Global Sensor Intelligence (CGSI), было отмечено, что IP-адрес, обозначенный как 81.19.136.251, был связан с несколькими действиями LockBit и связан с группой ShadowSyndicate. ShadowSyndicate, работающий с июля 2022 года, функционирует как филиал Ransomware-as-a-Service (RaaS), использующий различные разновидности программ-вымогателей для своих вредоносных операций. Исследователи из Group-IB связали эту группу с различными инцидентами с программами-вымогателями в прошлом, включая действия, связанные с программами-вымогателями Quantum в сентябре 2022 года, кампании программ-вымогателей Nokoyawa в октябре 2022 года, ноябре 2022 года и марте 2023 года, а также операции программ-вымогателей ALPHV в феврале 2023 года. Эти случаи подчеркивают широкое участие ShadowSyndicate в деятельности программ-вымогателей в относительно сжатые сроки.

Потенциальный риск, создаваемый серверами, работающими на непатченных версиях платформы aiohttp, является существенным в области кибербезопасности. Хотя до сих пор не наблюдалось активных атак, использующих выявленную уязвимость, действия по сканированию, проведенные группой ShadowSyndicate, подчеркивают неминуемую угрозу, исходящую от злоумышленников, использующих эту лазейку в системе безопасности.

#ParsedReport #CompletenessMedium
15-03-2024

NIKKI STEALER: EX-DEFACER TURNS SELLER OF DISCORD STEALER

https://www.cyfirma.com/outofband/nikki-stealer-ex-defacer-turns-seller-of-discord-stealer

Report completeness: Medium

Threats:
Nikki
Dll_sideloading_technique
Process_injection_technique
Credential_dumping_technique

Geo:
Portuguese, Portugal, Brazil

TTPs:
Tactics: 8
Technics: 14

IOCs:
File: 5
Hash: 4

Soft:
DISCORD, Telegram, macOS, Chromium, Node.js, Chrome, Opera, Microsoft Edge, Instagram

Algorithms:
sha256, md5, 7zip

Languages:
powershell, javascript

Platforms:
cross-platform

#ParsedReport #ExtractedSchema

Classified images:
code: 5, windows: 5, filemanager: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении и эволюции вредоносного инструмента Nikki Stealer, разработанного Sk4yx, бывшим дефейсером, ныне занимающимся вредоносной деятельностью. Nikki Stealer - это сложный инструмент, созданный с использованием платформы Electron от GitHub, позволяющий красть токены Discord, файлы cookie браузера и учетные данные. Вредоносная программа спроектирована так, чтобы ее нельзя было обнаружить, работает путем удаления PE-файлов в папку автозагрузки для сохранения и доступна для покупки в Discord или Telegram. Анализ подчеркивает активную разработку и внедрение Nikki Stealer, предполагая связь с предыдущим проектом разработчика, Crow Stealer. Присутствие Никки Стилер указывает на меняющийся ландшафт киберугроз, подчеркивая важность надежных мер безопасности для эффективной борьбы с такими вредоносными действиями.
-----

В тексте обсуждается появление и эволюция вредоносного инструмента Nikki Stealer, разработанного Sk4yx, бывшим дефейсером, ныне занимающимся вредоносной деятельностью. Nikki Stealer - это сложный инструмент, созданный с использованием платформы Electron от GitHub, позволяющий красть токены Discord, файлы cookie браузера и учетные данные. Вредоносное ПО доступно для покупки в Discord или Telegram, последняя версия - v9. Инструмент разработан таким образом, чтобы его нельзя было обнаружить, и имеет методы обхода, позволяющие избежать обнаружения защитным программным обеспечением.

Nikki Stealer работает, помещая PE-файлы в папку автозагрузки, которые автоматически запускаются при запуске системы. Целью программы является кража информации о браузере, такой как история посещенных страниц и пароли, с возможностью загрузки отсутствующих библиотек DLL для расширения возможностей. Вредоносная программа проявляет настойчивость, помещая себя в папку автозагрузки и создавая записи в меню "Пуск" для непрерывной работы даже после перезагрузки системы.

Платформа Electron, используемая Nikki Stealer, позволяет разрабатывать кроссплатформенные настольные приложения с использованием веб-технологий, таких как JavaScript, HTML и CSS. Злоумышленники предпочитают Electron из-за его совместимости с различными системами и платформами, позволяющей осуществлять вредоносные действия без ведома пользователя. Инструмент способен скрытно получать доступ к критически важным функциям операционной системы, облегчая вредоносные действия.

Подробный анализ Nikki Stealer подчеркивает его активную разработку и внедрение через каналы Discord и Telegram. Разработчик Sk4yx был связан с созданием вредоносного ПО Crow Stealer, что позволяет предположить связь между двумя проектами. Вредоносные действия, продвигаемые в Discord, включают в себя обмен фотографиями наркотиков, что указывает на незаконное поведение в сообществе. Несмотря на то, что Sk4yx в основном активен в Discord, Sk4yx поддерживает профиль в Instagram и ссылку на несуществующую панель входа для Никки Стилер.

Вывод, сделанный на основе анализа, указывает на то, что разработчик, стоящий за Nikki Stealer, базируется либо в Бразилии, либо в Португалии, ссылки на их имя можно найти в исходном коде. Инструмент завоевал популярность среди пользователей благодаря своей эффективности и необнаруживаемости, с заявлениями о нулевом коэффициенте обнаружения. Присутствие Никки Стилер подчеркивает меняющийся ландшафт киберугроз, подчеркивая необходимость принятия надежных мер безопасности для эффективной борьбы с такими вредоносными действиями.

#ParsedReport #CompletenessLow
15-03-2024

Discovering CVE-2024-28741: Remote code execution on NorthStar C2 agents via pre auth stored XSS

https://blog.chebuya.com/posts/discovering-cve-2024-28741-remote-code-execution-on-northstar-c2-agents-via-pre-auth-stored-xss

Report completeness: Low

Actors/Campaigns:
Unc3890
Apt33
Dropping_elephant

Threats:
Northstar_tool
Sliver_c2_tool
Empire_loader

CVEs:
CVE-2024-28741 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1059, T1071, T1550, T1560, T1055

IOCs:
File: 4

Languages:
php, javascript

Links:
https://github.com/ACE-Responder/RogueSliver
https://github.com/terjanq/Tiny-XSS-Payloads
https://github.com/topics/rat
https://github.com/EnginDemirbilek/NorthStarC2/wiki/Architecture#northstar-stager-registration-workflow
https://github.com/topics/backdoor
https://github.com/chebuya/CVE-2024-28741-northstar-agent-rce-poc
https://github.com/topics/c2
https://github.com/EnginDemirbilek/NorthStarC2/commit/7674a4457fca83058a157c03aa7bccd02f4a213c
https://github.com/EnginDemirbilek/NorthStarC2
https://github.com/topics/post-exploitation
https://github.com/topics/botnet

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и эксплуатации сохраненной с предварительной авторизацией уязвимости XSS в платформе Northstar C2, которая может быть использована для удаленного выполнения кода на контролируемых компьютерах, получения несанкционированного доступа и потенциального развертывания вредоносных полезных нагрузок в целевых системах. В анализе также обсуждается важность поиска уязвимостей в фреймворках C2, уделяя особое внимание уязвимостям с меньшим воздействием, таким как обход авторизации и XSS, которые могут иметь значительные последствия из-за критического характера этих приложений. Методология исследования включала изучение проектов с открытым исходным кодом на Github, ориентированных на фреймворк Northstar C2 из-за его разработки на PHP и меньшей кодовой базы, что позволяет проводить более эффективный анализ кода.
-----

Northstar C2, используемый APT-группами UNC3890, APT33 и Patchwork/APT-Q-36, содержит сохраненную XSS уязвимость с предварительной авторизацией, которая позволяет удаленно выполнять код на контролируемых компьютерах.

Использование этой уязвимости позволяет злоумышленнику загрузить свой собственный агент C2, завершить работу агента Northstar C2 и получить несанкционированный доступ.

Выводы @ACEResponder во фреймворках Sliver и Empire C2 повлияли на решение о поиске уязвимостей во фреймворках C2.

Уязвимость была обнаружена в ходе исследования Northstar C2 на Github и была сосредоточена на поверхностях атаки перед аутентификацией.

Отсутствие очистки в процессе регистрации идентификатора агента Northstar C2 привело к сохраненной уязвимости XSS в файле logs.php.

Эксплуатация включала отправку вредоносных запросов на регистрацию для создания полезной нагрузки JavaScript в таблице журналов и выполнения произвольных команд агентам.

Используя выполнение JavaScript на основе браузера, эксплойт извлек файл cookie PHPSESSID для выполнения действий на веб-панели и выполнения произвольных команд.

Этот метод использовал функциональность обновления страницы журналов для запуска полезной нагрузки, когда оператор обращался к ней.

Уязвимости с меньшим воздействием, такие как обход авторизации и XSS во фреймворках C2, выделяются из-за их потенциального более высокого воздействия из-за критического характера этих приложений.

Серверные маршруты для веб-каналов C2 расширяют область атак перед авторизацией, увеличивая вероятность использования уязвимостей из-за ошибок при очистке входных данных.

#ParsedReport #CompletenessHigh
15-03-2024

Inside the Rabbit Hole: BunnyLoader 3.0 Unveiled

https://unit42.paloaltonetworks.com/analysis-of-bunnyloader-malware

Report completeness: High

Actors/Campaigns:
Player_bunny

Threats:
Bunnyloader
Purecryptor
Upx_tool
Themida_tool
Nanocore_rat
Qakbot
Purelogs
Meduza
Nextronsystems_tool
Httpflood_technique
Tron

Industry:
Financial, Entertainment, Healthcare

Geo:
Russian, America, Korean

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1027, T1140, T1071, T1105, T1112, T1059, T1547, T1562, have more...

IOCs:
IP: 8
File: 11
Url: 1
Command: 1
Path: 9
Hash: 16
Coin: 1

Soft:
Telegram, Windows Defender, Google Chrome, chromium, Chrome, Discord

Wallets:
zcash, jaxx, coinomi, guarda_wallet, bitapp, coin98, iconex, mobox, xinpay, metamask, have more...

Crypto:
bitcoin, monero, ethereum, litecoin, dogecoin, tether, binance, starcoin

Algorithms:
zip, rc4

Win API:
CreateProcessA, GetForegroundWindow, GetWindowTextA

Languages:
php, powershell

#ParsedReport #ExtractedSchema

Classified images:
table: 1, schema: 1, chats: 1, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - это подробное исследование вредоносной программы BunnyLoader, охватывающее сроки ее разработки, эволюционирующую тактику, возможности, инфраструктуру и последние обновления.
-----

В статье представлен подробный обзор вредоносной программы BunnyLoader с акцентом на историю ее разработки, возможности, инфраструктуру и последние обновления. BunnyLoader - это динамическая вредоносная программа, которая может красть информацию, учетные данные и криптовалюту, а также доставлять дополнительные вредоносные программы своим жертвам. Вредоносная программа претерпела множество обновлений и преобразований с момента своего первоначального обнаружения в сентябре 2023 года, эволюционируя в функциональности и тактике, чтобы избежать обнаружения и усилить свои вредоносные операции.

Ключевые моменты, выделенные в статье, включают:.

** График разработки BunnyLoader**:.

BunnyLoader впервые был замечен в сентябре 2023 года как ботнет MaaS и вредоносная программа-загрузчик, написанная на C/C++.

Автор вредоносного ПО, известный как "Player" или "Player_Bunny", первоначально предлагал BunnyLoader 1.0 за 250 долларов, а последующие версии быстро развивались с новыми функциями и улучшениями.

BunnyLoader 2.0 был представлен в сентябре, за ним последовала "частная" версия в октябре и значительные обновления, приведшие к выпуску BunnyLoader 3.0 11 февраля 2024 года.

** Эволюция тактики BunnyLoader**:.

Вредоносная программа подвергалась постоянному переоснащению с добавлением новых функций, таких как пути к браузеру, функциональность кейлоггера, методы восстановления данных, защита от антивируса и дополнительные средства защиты.

Злоумышленники, стоящие за BunnyLoader, часто меняли свою тактику доставки и выполнения вредоносного ПО, используя такие методы, как упакованные двоичные файлы, новые инжекторы и запутывание имен файлов для имитации законных приложений.

**Возможности BunnyLoader 3.0**:.

Последняя версия, BunnyLoader 3.0, отличалась 90%-ным редизайном и улучшениями, предлагая улучшенную полезную нагрузку с отдельными модулями для таких функций, как кейлоггинг, кража данных и атаки типа "отказ в обслуживании".

BunnyLoader 3.0 использует зашифрованную связь с помощью шифрования RC4 для связи C2 и позволяет операторам развертывать настраиваемые модули в зависимости от их задач.

**Инфраструктура и тактика**:.

BunnyLoader использовал различные серверы C2 и схемы связи, адаптируя свои методы доставки с помощью замаскированных файлов и различных структур URL с использованием конечных точек PHP API.

Операторы вредоносного ПО использовали названия легальных программ и игр, чтобы обмануть пользователей и избежать подозрений.

**Функциональность новых модулей**:.

В BunnyLoader 3.0 были представлены отдельные модули для кейлоггинга, кражи данных, клипперинга и DoS-атак, каждый из которых обладает определенными функциями и поведением для выполнения вредоносных действий на целевых компьютерах.

**Смягчение угроз и защита**:.

В статье упоминается использование таких инструментов безопасности, как Cortex XDR, Prisma Cloud, Advanced WildFire, DNS Security и расширенная фильтрация URL-адресов Palo Alto Networks для защиты клиентов от атак BunnyLoader.

#ParsedReport #CompletenessMedium
15-03-2024

Malware analysis report: Smoke Loader. Technical AnalysisPermalink

https://mssplab.github.io/threat-hunting/2024/03/15/malware-analysis-smoke.html

Report completeness: Medium

Threats:
Smokeloader
Spear-phishing_technique

Geo:
Ukraine, Russia

ChatGPT TTPs:
do not use without manual check
T1566, T1059, T1055, T1071, T1027, T1112, T1003, T1110, T1620, T1573, have more...

IOCs:
File: 5
Hash: 2
Path: 1
Url: 5

Soft:
Win32 Cabinet Self-Extractor, Qemu, Virtualbox

Algorithms:
sha1, xor, rc4

Functions:
mw_decrypt_code, mw_Build_IAT_0, NtOpenProcess, NtCreateSection

Win API:
Isdebuggerpresent, NtQueryInformationProcess, OpenProcessToken, ShellExecuteExW, NtQuerySystemInformation, NtAllocateVirtualMemory, decompress, GetShellWindow, GetWindowThreadProcessId, NtMapViewOfSection, have more...

Languages:
python

Platforms:
x64, x86

Links:
https://github.com/emmanuel-marty/lzsa
https://github.com/FarghlyMal/Decryptors-and-Extractors/blob/main/Smoke%20Loader/Config
https://github.com/FarghlyMal/Config-Extractors/tree/main/Smoke%20Loader

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 3, dump: 5, code: 20

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - о Smoke Loader, сложном и популярном вредоносном ПО, известном своей продвинутой тактикой уклонения и скрытным поведением. Оно использовалось в основном для загрузки последующих этапов вредоносного ПО, особенно похитителей информации, нацеленных на извлечение учетных данных. Smoke Loader использует различные методы, чтобы запутать свои операции, имитировать законные схемы трафика, уклоняться от обнаружения и сохранять скрытность. Его возможности представляют значительную угрозу для систем и организаций, требуя передовых средств защиты для борьбы с его сложными функциями.
-----

Smoke Loader - это сложная вредоносная программа, представленная в 2011 году, которая в основном используется для загрузки последующих этапов вредоносного ПО, особенно похитителей информации, нацеленных на извлечение учетных данных.

Он использует передовые методы антианализа и анти-отладки, что затрудняет его обнаружение, и использует тактику для запутывания своих операций командования и контроля (C2).

Smoke Loader изначально продавался как SmokeLdr на платформах даркнета и с 2014 года был доступен исключительно участникам угроз, базирующимся в России.

Вредоносное ПО обычно распространяется через вредоносные документы, рассылаемые по электронной почте со спамом, или целенаправленные кампании фишинга, активируясь при взаимодействии с ними пользователей и внедряя вредоносный код в скомпрометированные системные процессы.

В одной кампании Smoke Loader поставляется в комплекте с Wextract, самоэкстрактором Win32 Cabinet, и использует сильно запутанный код, чтобы ввести в заблуждение механизмы дизассемблера и усложнить анализ.

Smoke Loader использует сложные методы уклонения, такие как расшифровка и повторное шифрование своего кода во время выполнения, и использует алгоритмы хэширования для разрешения API, необходимых для его работы.

Вредоносная программа проверяет местоположение зараженных компьютеров на основе языка клавиатуры, избегает заражения компьютеров в определенных странах и повышает привилегии в зависимости от уровня целостности токена.

Он тщательно проверяет загруженные модули и процессы, сравнивает их с известными антивирусными решениями и средами виртуализации, внедряет в систему следующий этап вредоносного ПО и шифрует его конфигурационные данные с помощью RC4 в формате таблицы строк.

#ParsedReport #CompletenessLow
15-03-2024

Navigating the Maze of SocGholish with Huntress: A Practical Guide

https://www.huntress.com/blog/navigating-the-maze-of-socgholish-with-huntress-a-practical-guide

Report completeness: Low

Threats:
Maze
Socgholish_loader

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1595, T1190, T1583

IOCs:
File: 2
Url: 2
Domain: 1

Soft:
Google Chrome, Chrome, WordPress

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4