#ParsedReport #CompletenessLow
17-04-2024

SoumniBot: the new Android banker s unique techniques

https://securelist.com/soumnibot-android-banker-obfuscates-app-manifest/112334

Report completeness: Low

Threats:
Soumnibot
Badpack
Hqwar

Industry:
Financial

Geo:
Korean

ChatGPT TTPs:
do not use without manual check
T1406, T1475, T1437, T1402, T1571, T1498

IOCs:
File: 2
Hash: 4
Url: 2

Soft:
Android

Algorithms:
zip, md5

Links:
https://github.com/trustdecision/trustdevice-android

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается появление вредоносной программы SoumniBot для Android, которая использует передовые методы обфускации, чтобы избежать обнаружения и украсть конфиденциальные данные, особенно ориентированные на корейских пользователей. Эта вредоносная программа использует уникальные методы, такие как манипулирование файлом манифеста Android, связь с основным сайтом для отправки собранных данных и подписка на команды с сервера MQTT. Несмотря на изощренную тактику, решения для обеспечения безопасности, такие как Kaspersky, по-прежнему могут идентифицировать SoumniBot и помечать его как троян-банкир.ANDROID.SoumniBot подчеркивает важность надежных мер безопасности на смартфонах для борьбы с появляющимися вредоносными программами.
-----

В тексте обсуждается использование создателями вредоносных программ различных инструментов и методов, препятствующих обнаружению и анализу кода, особенно в отношении вредоносных программ для Android. В нем упоминаются популярные программы-дропперы, такие как Badpack и Hqwar, которые используются для скрытой доставки троянских программ-банкиров или шпионских программ на смартфоны. Была обнаружена новая вредоносная программа SoumniBot, нацеленная на корейских пользователей, использующая нетрадиционный подход к уклонению от анализа и обнаружения путем обфускации манифеста Android.

Файл AndroidManifest.xml в APK-файле содержится важная информация о компонентах, разрешениях и других данных приложения, которые помогают определить точки входа для анализа кода. Разработчики SoumniBot изучили процедуру анализа и извлечения манифеста, чтобы эффективно маскировать APK-файлы. Этот метод включает в себя манипулирование размером манифеста для создания наложения с дополнительным содержимым архива, используя способ распаковки манифестов анализатором Android без возникновения ошибок.

SoumniBot использует длинные строки в манифесте в качестве параметров адреса сервера, необходимых для его функционирования. Он взаимодействует с mainsite для отправки злоумышленнику собранных данных, включая конфиденциальную информацию, такую как IP-адрес, страна, списки контактов и банковские реквизиты. Вредоносная программа также подписывается на команды с сервера MQTT, демонстрируя сложные возможности фильтрации данных и выполнения команд. SoumniBot скрывает свой значок при установке, чтобы избежать обнаружения, постоянно пытаясь запустить вредоносные службы и загружать данные в фоновом режиме, одновременно используя цифровые сертификаты корейских банков для утечки - тактика, необычная для вредоносных программ для Android-банкинга.

Вредоносная программа нацелена на скрытное заражение устройств с целью максимального воздействия, что подчеркивает важность понимания исследователями и специалистами в области безопасности ее методов обнаружения и предотвращения. Несмотря на передовые методы обфускации, используемые SoumniBot, Kaspersky security solutions может обнаружить его и обозначить как троян-банкир.ANDROID.SoumniBot. В тексте подчеркивается необходимость в надежных решениях безопасности для смартфонов для защиты от сложных вредоносных программ, таких как SoumniBot, которые используют уязвимости при анализе манифестов Android.

Таким образом, обсуждение SoumniBot проливает свет на эволюцию тактики, используемой создателями вредоносных программ для уклонения от обнаружения и эффективной кражи конфиденциальных данных. Внимание вредоносного ПО к корейским ключам онлайн-банкинга и цифровым сертификатам подчеркивает важность сохранения бдительности в отношении подобных угроз. Исследователям рекомендуется изучить методы SoumniBot для повышения осведомленности во всем мире и разработки эффективных мер противодействия подобным вредоносным действиям в будущем.

#ParsedReport #CompletenessMedium
17-04-2024

Malvertising campaign targeting IT teams with MadMxShell

https://www.zscaler.com/blogs/security-research/malvertising-campaign-targeting-it-teams-madmxshell

Report completeness: Medium

Actors/Campaigns:
Duke

Threats:
Madmxshell
Typosquatting_technique
Dll_sideloading_technique
Dns_tunneling_technique
Process_hollowing_technique
Residential_proxy_technique
Process_injection_technique

TTPs:

IOCs:
Domain: 44
File: 2
Path: 3
Registry: 1
Command: 1
Email: 1
Hash: 9

Soft:
Windows Defender

Algorithms:
zip, sha256, md5, ror13, xor

Win API:
ShellExecuteExW, CryptGenRandom, DeleteFileW

Languages:
php, javascript, python

Links:
https://github.com/threatlabz/tools/blob/main/madmxshell/network\_decoder.py

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что был обнаружен злоумышленник, использующий поддельные домены для распространения недавно обнаруженного бэкдора под названием "MadMxShell", нацеленного на ИТ-специалистов с помощью таких тактик, как опечатывание, вредоносная реклама с помощью рекламы Google и использование DNS для связи C2. Бэкдор использует различные методы обхода, чтобы избежать обнаружения, и осуществляет вредоносные действия в зараженных системах, что указывает на сложную и стратегическую кампанию по борьбе с киберугрозами.
-----

Zscaler ThreatLabZ обнаружил злоумышленника, использующего поддельные домены для распространения бэкдора под названием "MadMxShell", замаскированного под законные сайты программного обеспечения для сканирования IP-адресов.

Злоумышленник использовал тайпсквоттинг, рекламу Google и зарегистрированные поддельные домены для атаки на ИТ-специалистов, особенно на тех, кто занимается сетевым администрированием и безопасностью.

Бэкдор использует такие методы, как дополнительная загрузка библиотеки DLL, неправильное использование протокола DNS для передачи данных C2 и тактика обхода, позволяющая избежать использования решений для обеспечения безопасности, связанных с анализом памяти.

Вредоносная программа взаимодействует с удаленным сервером C2 посредством запросов DNS MX и закодированных ответов, выполняя такие действия, как сбор системной информации, выполнение команд и операции с файлами.

Бэкдор шифрует и зашифровывает свои функции, использует XOR-шифрование для конфиденциальных данных, создает уникальные идентификаторы и реализует короткие интервалы между сообщениями C2, чтобы избежать обнаружения.

Злоумышленник стратегически использует Google Ads для проведения вредоносной кампании и использует DNS для связи C2, демонстрируя изощренность в обходе мер безопасности.

Постоянные усилия по мониторингу и смягчению последствий необходимы для защиты от развивающихся киберугроз, а упреждающие меры кибербезопасности и анализ угроз имеют решающее значение для защиты.

Подробный технический анализ, IOCs и скрипт на Python для расшифровки трафика C2, связанного с этой кампанией, доступны в репозитории Zscaler на GitHub.

#ParsedReport #CompletenessLow
17-04-2024

GOLD IONIC Deploys INC Ransomware

https://www.secureworks.com/blog/gold-ionic-deploys-inc-ransomware

Report completeness: Low

Actors/Campaigns:
Inc_ransomware (motivation: financially_motivated, information_theft)
Gold_mystic (motivation: information_theft)
Lockbit (motivation: information_theft)
Gold_blazer (motivation: information_theft)
Donut

Threats:
Inc_ransomware
Citrix_bleed_vuln
Meterpreter_tool
Adfind_tool
Megasync_tool
Lockbit
Blackcat

Industry:
Healthcare, Education

Geo:
Russia

CVEs:
CVE-2023-4966 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler application delivery controller (<12.1-55.300, 12.1-55.297, 12.1, <13.0-92.19, 13.0, 13.0-91.13, <13.1-37.164, 13.1-37.159, 13.1, <13.1-49.15, 13.1-49.13, <14.1-8.50, 14.1)
- citrix netscaler gateway (<13.0-92.19, 13.0-91.13, 13.0, <13.1-49.15, 13.1-49.13, 13.1, <14.1-8.50, 14.1)


ChatGPT TTPs:
do not use without manual check
T1486, T1567, T1021, T1485, T1490, T1489, T1041, T1020

IOCs:
File: 3

Soft:
Active Directory, PsExec

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что подразделение Secureworks по борьбе с угрозами (CTU) отслеживает деятельность группы по выкупу INC, известной как GOLD IONIC, с момента ее появления в августе 2023 года. GOLD IONIC использует метод двойного вымогательства, ориентируясь на различные сектора по всему миру, но с акцентом на организации, базирующиеся в США. Группа последовательно внедряет программы-вымогатели с помощью различных инструментов и тактик, подчеркивая необходимость соблюдения организациями руководящих принципов кибербезопасности и повышения их устойчивости к атакам программ-вымогателей.
-----

Исследователи подразделения Secureworks Counter Threat Unit (CTU) активно отслеживают деятельность группы по выкупу INC, известной как GOLD IONIC, с момента ее появления в августе 2023 года. Эта группа злоумышленников использует распространенный метод двойного вымогательства, когда они извлекают данные перед шифрованием систем, а затем угрожают жертвам публичным разоблачением в качестве рычага давления при переговорах о выкупе. В период с августа 2023 по март 2024 года GOLD IONIC опубликовала список из 72 жертв на своем сайте по утечке данных Tor, а еще семь жертв были опубликованы в апреле. В то время как большинство жертв находятся в США, группа расширилась по всему миру, охватывая различные секторы, такие как промышленность, здравоохранение и образовательные организации.

В отличие от некоторых групп вымогателей, которые действуют через филиалы по модели "программа-вымогатель как услуга", GOLD IONIC, по-видимому, функционирует как закрытая группа. Виктимологический анализ группы указывает на то, что основное внимание уделяется организациям, базирующимся в США, при этом Великобритания является второй наиболее пострадавшей страной, что позволяет предположить, что их операции базируются в России или странах Содружества Независимых Государств (СНГ). Целевые сектора соответствуют типичным целям программ-вымогателей, среди которых выделяются промышленность, здравоохранение и образование.

Мероприятия по реагированию на инциденты, связанные с GOLD IONIC, выявили последовательное внедрение программ-вымогателей INC, которые часто получают первоначальный доступ через уязвимости, такие как эксплойт Citrix Bleed (CVE-2023-4966). Проникнув в сеть, злоумышленники используют различные инструменты, такие как Meterpreter, AdFind, WinRAR и Megasync, для фильтрации данных. Процесс шифрования с помощью программ-вымогателей включает в себя присвоение уникального двоичного имени файла каждой жертве, изменение расширения файла и вставку записки с требованием выкупа, в которой жертвам предлагается связаться с лицом, ответственным за угрозу.

Структура сайта утечки информации о выкупе INC напоминает структуру группы программ-вымогателей LockBit, но существует ограниченное количество доказательств, связывающих их. На сайте утечки также представлены жертвы других атак программ-вымогателей, что демонстрирует некоторую взаимосвязь в среде программ-вымогателей. Некоторые жертвы, указанные на сайте утечки в отношении GOLD IONIC, возможно, пострадали от программ-вымогателей, которыми управляли другие группы, в период бездействия GOLD IONIC, что указывает на сложное взаимодействие между операторами программ-вымогателей и аффилированными лицами.

Появление GOLD IONIC подчеркивает постоянную угрозу, исходящую от групп программ-вымогателей, использующих схожие тактики, методы и процедуры (TTP). Исследователи КТО рекомендуют организациям придерживаться рекомендаций по кибербезопасности, разработанных такими организациями, как CISA и NCSC, для повышения устойчивости к атакам программ-вымогателей. Внедрение и тестирование надежных планов реагирования на инциденты может помочь организациям эффективно реагировать на подобные угрозы, позволяя на ранней стадии обнаруживать вредоносные действия и предотвращать их, чтобы свести к минимуму последствия атак программ-вымогателей.

#ParsedReport #CompletenessLow
17-04-2024

Ransomware Deployment Attempts Via TeamViewer

https://www.huntress.com/blog/ransomware-deployment-attempts-via-teamviewer

Report completeness: Low

Threats:
Teamviewer_tool
Lockbit
Havoc

TTPs:
Tactics: 1
Technics: 3

IOCs:
File: 3
Path: 4
Hash: 1

Soft:
curl

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: В тексте рассказывается о том, как аналитики Huntress SOC расследовали два инцидента с программами-вымогателями, в ходе которых конечные точки были затронуты минимально, а участники угроз получили первоначальный доступ через TeamViewer. Эти инциденты подчеркнули важность соблюдения базовых правил безопасности для предотвращения несанкционированного доступа и потенциального вреда со стороны участников угроз.
-----

Аналитики Huntress SOC недавно уведомили клиентов о двух конечных точках, которые были минимально затронуты программой-вымогателем, зашифровав лишь несколько файлов canary. Не было обнаружено свидетельств того, что злоумышленник проводил разведку за пределами затронутых конечных точек или пытался переместиться в другие части инфраструктуры. Один из инцидентов был предотвращен из-за уже установленного программного обеспечения безопасности. Обнаруженные инциденты имели сходство с теми, которые обсуждались в блоге VMware под названием "Разблокирована программа-вымогатель LockBit 3.0" от 15 октября 2022 года.

В ходе расследования было установлено, что первоначальный доступ к обеим конечным точкам был получен через TeamViewer. Журналы TeamViewer connections_incoming.txt показали, что субъект угрозы имел доступ к каждой конечной точке. Для конечной точки A несколько пользователей, идентифицированных Huntress как законные администраторы, неоднократно обращались к системе с разных конечных точек, некоторые из которых имели "-HOME" в своих именах. Для конечной точки B записи в журнале были датированы 2018 годом и показали, что последний сеанс входа в систему через TeamViewer произошел более чем за три месяца до получения доступа злоумышленником. В предыдущих случаях, которые наблюдала Huntress, злоумышленники использовали TeamViewer для развертывания майнеров криптовалюты и для фильтрации данных с помощью curl.exe.

Развертывание программы-вымогателя на обеих конечных точках началось с пакетного файла DOS, запущенного с рабочего стола пользователя. Программа-вымогатель, содержащаяся в одной конечной точке, затронула исключительно конечную точку A.

Подчеркивается, что основные методы обеспечения безопасности основаны на ведении учета активов, включая физические и виртуальные конечные точки, а также установленные приложения. Инциденты, проанализированные аналитиками Huntress SOC, показывают, как участники угроз используют любые доступные средства доступа к отдельным конечным точкам для нанесения ущерба и потенциального расширения своего влияния в инфраструктуре.

#ParsedReport #CompletenessLow
17-04-2024

Kapeka: A novel backdoor spotted in Eastern Europe

https://labs.withsecure.com/publications/kapeka.html

Report completeness: Low

Actors/Campaigns:
Sandworm

Threats:
Kapeka
Prestige_ransomware
Greyenergy

Industry:
Government

Geo:
Russian, Ukraine

ChatGPT TTPs:
do not use without manual check
T1547, T1082, T1105, T1588

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ключевые моменты:.
Компания WithSecure обнаружила новый бэкдор под названием "Kapeka", используемый для кибератак в Восточной Европе.
Kapeka - это универсальный бэкдор с возможностями для атак на ранней стадии и долгосрочного доступа к системе.
Обнаружено сходство между вредоносными программами Kapeka, GreyEnergy и Prestige ransomware, связанными с группировкой Sandworm, которая, как полагают, является российской организацией, управляемой ГРУ.
Kapeka развертывает дроппер, собирает данные и позволяет выполнять команды в скомпрометированных системах.
Связь с продолжающимся конфликтом между Россией и Украиной, с целенаправленными атаками, которые наблюдались после украинского вторжения.
Отчет WithSecure направлен на то, чтобы предупредить предприятия и правительства о Kapeka и ее связи с Sandworm, распространяя расширенные копии среди избранных организаций и публикуя результаты исследований.
-----

Компания WithSecure недавно обнаружила новый бэкдор под названием "Kapeka", который с середины 2022 года используется в кибератаках на жертв в Восточной Европе. Вредоносная программа описывается как универсальный бэкдор, оснащенный возможностями для использования злоумышленниками на ранней стадии в качестве инструментария и обеспечения долгосрочного доступа к скомпрометированным системам. Сложность и уровень скрытности, продемонстрированные Kapeka, свидетельствуют о том, что в ней задействован продвинутый агент по борьбе с постоянными угрозами (APT).

Особый интерес представляет обнаружение общих черт между Kapeka, вредоносной программой GreyEnergy и программой-вымогателем Prestige, которые были отнесены к группе угроз, известной как Sandworm. "Песчаный червь" - это известная российская национальная государственная организация, которая, как полагают, управляется Главным управлением Генерального штаба Вооруженных сил Российской Федерации (ГРУ). Группа получила известность за проведение деструктивных киберопераций в Украине для продвижения российских интересов в регионе.

Kapeka предназначена для развертывания дроппера, который устанавливает и запускает бэкдор в системе жертвы перед самоуничтожением. Функциональность бэкдора включает в себя сбор системных и пользовательских данных, отправку этой информации субъектам угрозы для анализа и обеспечение выполнения команд на скомпрометированном компьютере. Хотя конкретные методы распространения бэкдора Kapeka компанией Sandworm остаются неясными, его разработка и внедрение, по-видимому, согласуются с продолжающимся конфликтом между Россией и Украиной, когда целенаправленные атаки наблюдались по всей Центральной и Восточной Европе после вторжения на Украину в 2022 году.

В отчете WithSecure представлен подробный технический анализ Kapeka, проливающий свет на его функции и возможности, а также прослеживается связь между бэкдором и группой угроз Sandworm. Основная цель отчета - предупредить предприятия, правительственные учреждения и более широкое сообщество специалистов по безопасности о появлении Kapeka и ее связи с таким изощренным агентом угроз, как Sandworm. WithSecure поделилась расширенными копиями отчета с некоторыми правительствами и заказчиками, а также выпускает различные исследовательские артефакты, включая такие инструменты, как средство извлечения конфигурации на основе реестра и жесткого кода, скрипт для расшифровки и моделирования сетевого взаимодействия бэкдора, а также индикаторы компрометации, правила YARA и MITRE ATT.&Отображения CK, полученные в результате их исследования.

#ParsedReport #CompletenessLow
17-04-2024

Attackers exploiting new critical OpenMetadata vulnerabilities on Kubernetes clusters

https://www.microsoft.com/en-us/security/blog/2024/04/17/attackers-exploiting-new-critical-openmetadata-vulnerabilities-on-kubernetes-clusters

Report completeness: Low

Threats:
Interactsh_tool
Netcat_tool

Victims:
Users of openmetadata

Geo:
China

CVEs:
CVE-2024-28254 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-28848 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-28253 [Vulners]
CVSS V3.1: 9.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-28255 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-28847 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1190, T1071, T1105, T1059, T1064, T1053, T1133, T1102

IOCs:
Domain: 2
Hash: 3
IP: 3

Soft:
OpenMetadata, Microsoft Defender

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что злоумышленники нацеливаются на среду Kubernetes, используя критические уязвимости в OpenMetadata для криптомайнинга. Злоумышленники используют обнаруженные уязвимости, затрагивающие версии ниже 1.3.1, для обхода аутентификации, выполнения удаленного кода, проведения разведки через домены OAST, загрузки вредоносного ПО, связанного с криптомайнингом, установления соединений удаленного доступа и обеспечения постоянного выполнения вредоносного кода. В нем подчеркивается важность поддержания исправленных рабочих нагрузок, применения надежных решений для обеспечения безопасности и таких инструментов, как Microsoft Defender для контейнеров и Azure Kubernetes Service с Microsoft Sentinel, для комплексного мониторинга с целью эффективного обнаружения угроз и реагирования на них.
-----

Злоумышленники нацелены на среду Kubernetes, используя критические уязвимости в OpenMetadata для проведения криптомайнинга. Эти уязвимости (CVE-2024-28255, CVE-2024-28847, CVE-2024-28253, CVE-2024-28848, CVE-2024-28254) были обнаружены 15 марта 2024 года и затрагивают версии ниже 1.3.1. Используя эти уязвимости, злоумышленники могут обойти аутентификацию и выполнить удаленный код на своем компьютере. Рабочие нагрузки Kubernetes. Корпорация Майкрософт рекомендует клиентам обеспечить обновление рабочих нагрузок OpenMetadata до версии 1.3.1 или более поздней, чтобы снизить риск.

После первоначального взлома злоумышленники проводят разведку, отправляя запросы ping на домены OAST, связанные с Interactsh, чтобы проверить подключение, не вызывая предупреждений системы безопасности. Получив подтверждение, они загружают вредоносное ПО, связанное с криптомайнингом, с сервера в Китае. Затем злоумышленники запускают вредоносное ПО, устанавливают обратное командное соединение с помощью Netcat для удаленного доступа и используют cronjobs для сохранения, позволяя периодически выполнять вредоносный код.

Эта атака подчеркивает важность поддержания исправленных рабочих нагрузок в контейнерных средах и использования надежных решений для обеспечения безопасности. Microsoft Defender для контейнеров обнаружил вредоносную активность, в частности, предупреждение о запуске обратной оболочки из контейнера в кластере Kubernetes. Организации могут повысить уровень своей безопасности, используя Microsoft Sentinel со службой Azure Kubernetes, которая обеспечивает всесторонний мониторинг вредоносных действий в кластерах Kubernetes.

Таким образом, эта атака использует уязвимости в OpenMetadata для компрометации сред Kubernetes для криптомайнинга, подчеркивая необходимость поддержания обновленных рабочих нагрузок и использования эффективных решений безопасности для эффективного обнаружения угроз и реагирования на них.

#ParsedReport #CompletenessMedium
18-04-2024

Palo Alto Networks PAN-OS Command Injection Vulnerability (CVE-2024-3400)

https://nsfocusglobal.com/palo-alto-networks-pan-os-command-injection-vulnerability-cve-2024-3400

Report completeness: Medium

Threats:
Upstyle_backdoor

Victims:
Palo alto networks

Industry:
Telco, Financial

Geo:
China, Usa

CVEs:
CVE-2024-3400 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (10.2.0, 11.0.0, 11.1.0)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1068, T1059

IOCs:
Hash: 2
IP: 3
Url: 2
Domain: 1

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #CompletenessLow
18-04-2024

Infostealer produced and distributed with Electron

https://asec.ahnlab.com/ko/64285

Report completeness: Low

Threats:
Teamviewer_tool

ChatGPT TTPs:
do not use without manual check
T1566, T1553, T1027

IOCs:
File: 4
Hash: 3

Soft:
Discord, VSCode, node.js, NSIS installer

Languages:
javascript