CTT Report Hub
3.4K subscribers
9.59K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
CTT Report Hub
#ParsedReport #CompletenessLow 19-05-2024 Dark Web Profile: Dispossessor Ransomware https://socradar.io/dark-web-profile-dispossessor-ransomware Report completeness: Low Actors/Campaigns: Dispossessor (motivation: cyber_criminal) Lockbit Ransomhub Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается появление новой группы программ-вымогателей под названием Dispossessor, деятельность которой очень напоминает печально известную LockBit group. Dispossessor работает в качестве брокера данных, используя модель "Программа-вымогатель как услуга", и использует аффилированных лиц для проведения атак. Группа активно участвовала в краже ценных данных и вымогательстве после того, как правоохранительные органы пресекли деятельность LockBit. В тексте подчеркивается важность внедрения надежных стратегий защиты от программ-вымогателей для защиты от таких угроз и подчеркивается важность интеграции решений для мониторинга угроз и разведки, таких как SOCRadar, в системы кибербезопасности.
-----

Dispossessor - это новая группа программ-вымогателей, которая напоминает LockBit после подавления LockBit правоохранительными органами.

Название "Обездоленный" может быть навеяно романом Урсулы К. Ле Гуин "Обездоленные"..

Dispossessor работает в качестве брокера данных по модели "Программа-вымогатель как услуга" (RaaS), полагаясь на аффилированных лиц для проведения атак.

Веб-сайт Dispossessor полностью повторяет веб-сайт LockBit, что позволяет предположить потенциальный ребрендинг или создание новой группы, использующей инфраструктуру LockBit.

Компания Dispossessor объявила о доступности утечки данных для скачивания и продажи после операции Cronos, нацеленной на различные рынки.

Ключевые стратегии защиты от программ-вымогателей включают регулярное резервное копирование данных, обучение навыкам безопасности, эффективное управление исправлениями, сегментацию сети, контроль доступа, защиту конечных точек, планирование реагирования на инциденты, аудит безопасности, проверку целостности резервных копий данных и развертывание решений для мониторинга угроз, таких как SOCRadar.

Интеграция с SOCRadar обеспечивает непрерывный мониторинг угроз, упреждающий поиск угроз, понимание действующих лиц угроз, превентивные меры безопасности и своевременное оповещение о потенциальных векторах атак для усиления защиты от кибербезопасности.
#ParsedReport #CompletenessMedium
19-05-2024

Springtail: New Linux Backdoor Added to Toolkit

https://symantec-enterprise-blogs.security.com/threat-intelligence/springtail-kimsuky-backdoor-espionage

Report completeness: Medium

Actors/Campaigns:
Springtail (motivation: cyber_espionage)
Kimsuky (motivation: cyber_espionage)

Threats:
Gobear
Gomir
Spear-phishing_technique
Troll_stealer
Supply_chain_technique
Betaseed
Endoor

Victims:
Khnp, Sga solutions, Ahnlab, Organizations in south korea

Industry:
Government, Military

Geo:
Korea, Korean, Asian

ChatGPT TTPs:
do not use without manual check
T1566, T1068, T1543, T1105, T1027, T1195, T1556.003

IOCs:
File: 2
Url: 1
Hash: 18
IP: 1

Soft:
systemd, crontab, X_Trader

Algorithms:
md5, base64

Functions:
getegid32
CTT Report Hub
#ParsedReport #CompletenessMedium 19-05-2024 Springtail: New Linux Backdoor Added to Toolkit https://symantec-enterprise-blogs.security.com/threat-intelligence/springtail-kimsuky-backdoor-espionage Report completeness: Medium Actors/Campaigns: Springtail…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении нового бэкдора Linux под названием Linux.Gomir, разработанного северокорейской шпионской группой Springtail, также известной как Kimsuky. Этот бэкдор является частью недавней кампании, нацеленной на организации в Южной Корее, и имеет схожий код с ранее идентифицированным бэкдором GoBear. Кампания включает в себя распространение семейства вредоносных программ под названием Troll Stealer с помощью троянских установочных пакетов программного обеспечения с целью кражи различной информации из зараженных систем, в частности, нацеленной на сотрудников правительства Южной Кореи и государственных организаций. Злоумышленники маскируют распространение этих угроз с помощью таких методов, как троянизация законных пакетов программного обеспечения и использование украденных сертификатов.
-----

Команда Symantec Threat Hunter обнаружила новый бэкдор для Linux под названием Linux.Gomir, разработанный северокорейской шпионской группой Springtail, также известной как Kimsuky.

Gomir связан с недавней кампанией против организаций в Южной Корее и представляет собой Linux-версию бэкдора GoBear, используемого Springtail.

Springtail связана с северокорейской военной разведывательной организацией "Главное разведывательное бюро" и нацелена на организации государственного сектора в Южной Корее с помощью фишинговых кампаний.

В ходе недавней кампании Springtail распространяла вредоносное ПО под названием Troll Stealer, предназначенное для кражи различной информации из зараженных систем, включая правительственные данные.

Troll Stealer распространялся через троянские установочные пакеты для программного обеспечения TrustPKI и NX_PRNMAN, а также через Wizvera VeraPort, который ранее подвергался атаке на сеть поставок, связанную с Северной Кореей.

Troll Stealer похож на GoBear и другой бэкдор под названием BetaSeed, но оба они подписаны законным сертификатом от "D2innovation Co.,LTD.".

Gomir, версия вредоносной программы для Linux, взаимодействует со своим сервером управления с помощью HTTP POST-запросов, расшифровывает команды с помощью пользовательского алгоритма шифрования и поддерживает выполнение различных команд.

Кампания Springtail делает упор на использовании программ для установки троянского ПО в целях нацеливания на южнокорейские организации, стратегически выбранные для обеспечения максимального уровня заражения.
#ParsedReport #CompletenessMedium
19-05-2024

New Threat Detected: Inside Our Discovery of the Log4j Campaign and Its XMRig Malware. Sign up here:

https://www.uptycs.com/blog/log4j-campaign-xmrig-malware

Report completeness: Medium

Actors/Campaigns:
Lazarus
Fancy_bear
Charming_kitten
Bronze_starlight

Threats:
Log4shell_vuln
Xmrig_miner
Ninerat
Dlrat
Bottomloader
Kinsing_miner
Nightsky
Lockbit
Coinminer
Mirai
Tsunami_botnet
Mushtik
Bashlite
C3pool

Geo:
Netherlands, Sweden, China, Japan, Africa, Germany

CVEs:
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache log4j (2.0, <2.15.0, <2.3.1, <2.12.2)
- siemens sppa-t3000 ses3000 firmware (*)
- siemens logo\! soft comfort (*)
- siemens spectrum power 4 (4.70)
- siemens siveillance control pro (*)
have more...

TTPs:
Tactics: 3
Technics: 5

IOCs:
IP: 8
Coin: 1
Url: 6
Domain: 3
Hash: 4

Soft:
Apache Log4j, curl

Algorithms:
base64, sha256

Languages:
java

Platforms:
x86
CTT Report Hub
#ParsedReport #CompletenessMedium 19-05-2024 New Threat Detected: Inside Our Discovery of the Log4j Campaign and Its XMRig Malware. Sign up here: https://www.uptycs.com/blog/log4j-campaign-xmrig-malware Report completeness: Medium Actors/Campaigns: Lazarus…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе важной текущей операции в рамках кампании Log4j, в ходе которой злоумышленники используют уязвимости для внедрения вредоносного ПО, в первую очередь XMRig cryptominer, в целевые системы. Широкое распространение уязвимостей Log4j повлияло на индустрию программного обеспечения, и команда Uptycs по исследованию угроз подготовила рекомендации по защите от таких атак.
-----

Команда Uptycs по исследованию угроз обнаружила важную текущую операцию в рамках кампании Log4j, первоначально обнаруженную в их коллекции honeypot. Команда немедленно приступила к углубленному анализу, чтобы понять сложности этой динамичной кампании. Основная цель кампании - внедрить вредоносное ПО XMRig cryptominer в целевые системы, используя уязвимость Log4j CVE-2021-44228 для удаленного выполнения кода (RCE). Злоумышленники, такие как Lazarus, APT28, APT35 и DEV-0401, используют эти уязвимости для развертывания различных вредоносных программ, таких как NineRAT, DLRAT, BottomLoader, Kinsing, NightSky, Mirai и других.

Последовательность заражения обычно начинается с того, что злоумышленник отправляет тщательно разработанный HTTP-запрос в систему с использованием Log4j, запуская Log4j для создания записи в журнале, содержащей строку эксплойта. Эта строка эксплойта инициирует сетевой запрос к серверу, контролируемому злоумышленником, используя механизмы JNDI, поддерживаемые Log4j. Используя изменчивость конфигурации системы, злоумышленники могут получить команду на поиск и выполнение своей вредоносной полезной нагрузки. Широкое распространение уязвимостей Log4j оказало значительное влияние на индустрию программного обеспечения, затронув многочисленные пакеты Java.

Команда Uptycs выявила текущую кампанию, использующую уязвимость Log4j, которая началась в январе 2024 года. Были обнаружены четыре различных набора серверов, каждый из которых способствовал распространению криптомайнеров XMRig, устанавливая связь со скомпрометированными IP-адресами. Детальный анализ одного сервера управления (C2) выявил такие действия, как получение жертвами командных скриптов для развертывания XMRig или распространения вредоносных программ Mirai или Gafgyt.

Географически уязвимыми странами являются Китай, Гонконг, Нидерланды, Япония, Соединенные Штаты, Германия, Южная Африка и Швеция. Uptycs XDR демонстрирует надежные возможности обнаружения благодаря поддержке YARA и расширенным функциям для выявления таких угроз и анализа развертывания вредоносных программ с конечной полезной нагрузкой. Рекомендации по защите от атак Log4j campaign включают внедрение надежного управления исправлениями, мониторинг сетевого трафика на предмет вредоносной активности, разработку планов реагирования на инциденты и поддержание практики непрерывного мониторинга.

Следуя этим рекомендациям, организации могут повысить свою способность эффективно обнаруживать угрозы, связанные с Log4j, реагировать на них и смягчать их последствия.
#ParsedReport #CompletenessMedium
19-05-2024

Tracking the Progression of Earth Hundun's Cyberespionage Campaign in 2024. Summary

https://www.trendmicro.com/en_us/research/24/e/earth-hundun-2.html

Report completeness: Medium

Actors/Campaigns:
Earth_hundun (motivation: cyber_espionage)

Threats:
Waterbear
Deuterbear
Dll_sideloading_technique
Process_injection_technique

Geo:
Asia-pacific

TTPs:
Tactics: 9
Technics: 20

IOCs:
Registry: 2
Hash: 8
Domain: 14

Algorithms:
xor, rc4

Win API:
SetTcpEntry, GetVersionExA, gethostbyname, gethostname, GetUserNameA, GetLastInputInfo, GetWindowTextA, GetAdaptersInfo, GetCurrentProcessId, CryptUnprotectData, have more...
CTT Report Hub
#ParsedReport #CompletenessMedium 19-05-2024 Tracking the Progression of Earth Hundun's Cyberespionage Campaign in 2024. Summary https://www.trendmicro.com/en_us/research/24/e/earth-hundun-2.html Report completeness: Medium Actors/Campaigns: Earth_hundun…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - исследование использования киберугрозой Earth Hundun продвинутых вредоносных программных средств, известных как Waterbear, и их эволюции, Deuterbear, в кампании 2024 года. Отчет дает представление о тактике Earth Hundun, такой как распространение инфекции, взаимодействие командования и контроля, а также поведение компонентов вредоносного ПО, демонстрируя непрерывную разработку инструментов, позволяющих избежать анализа и обнаружения. В нем сравниваются характеристики и возможности Waterbear и Deuterbear, подчеркиваются достижения Deuterbear и его изощренная тактика взаимодействия с жертвами.
-----

В отчете обсуждается использование киберугрозой Earth Hundun передовых вредоносных программных средств Waterbear и Deuterbear в кампании 2024 года. Компания Earth Hundun, известная своей ориентацией на Азиатско-Тихоокеанский регион, обновила свою тактику распространения инфекции и коммуникации. Отчет посвящен подробному описанию операционных аспектов Waterbear и Deuterbear, включая этапы заражения, взаимодействие командования и контроля (C&C) и поведение компонентов вредоносного ПО.

Deuterbear, являющийся развитием Waterbear, демонстрирует усовершенствования в таких возможностях, как поддержка плагинов шеллкода, отказ от рукопожатий при работе с RAT и использование HTTPS для обмена данными по C&C. При сравнении двух вариантов вредоносного ПО становится очевидным, что Deuterbear, в отличие от Waterbear, использует формат шеллкода, защиту от сканирования памяти и использует общий ключ трафика со своим загрузчиком. Эта эволюция от Waterbear к Deuterbear означает постоянное совершенствование компанией Earth Hundun инструментов, позволяющих избежать анализа и обнаружения.

В отчете рассматривается поведение вредоносных программ Waterbear и Deuterbear, подчеркивается изощренная тактика, используемая Earth Hundun при взаимодействии со своими жертвами. В нем обсуждается, как Waterbear работает в среде жертвы и распространяет дополнительные загрузчики по внутренней сети. В отчете также представлено сравнение загрузчиков Waterbear и Deuterbear, показывающее различия в используемых компонентах RAT.

Дальнейший анализ детализирует функции и способы установки Deuterbear, подчеркивая его сходство с Waterbear в плане двухэтапной установки через черный ход. Deuterbear RAT наследует компоненты от загрузчика, используя тот же канал HTTPS и ключ трафика для связи с сервером C&C, не требуя подтверждения связи. В отчете показано, что Deuterbear копирует функциональные возможности Waterbear, оптимизируя свои возможности с помощью 20 команд RAT по сравнению с более чем 60 в Waterbear, и использует больше плагинов для повышения гибкости и функциональности.
#ParsedReport #CompletenessHigh
20-05-2024

Tiny BackDoor Goes Undetected - Suspected Turla leveraging MSBuild to Evade detection

https://cyble.com/blog/tiny-backdoor-goes-undetected-suspected-turla-leveraging-msbuild-to-evade-detection

Report completeness: High

Actors/Campaigns:
Turla (motivation: cyber_espionage)

Threats:
Tinyturla
Kazuar

Industry:
Ngo

Geo:
Russian, Philippine, Russia, Ukraine, Philippines

TTPs:
Tactics: 5
Technics: 5

IOCs:
File: 5
Domain: 1
Url: 1
Hash: 6

Soft:
Task Scheduler, Visual Studio

Algorithms:
exhibit, zip, aes, base64, sha256

Functions:
Execute

Languages:
powershell, php

YARA: Found
CTT Report Hub
#ParsedReport #CompletenessHigh 20-05-2024 Tiny BackDoor Goes Undetected - Suspected Turla leveraging MSBuild to Evade detection https://cyble.com/blog/tiny-backdoor-goes-undetected-suspected-turla-leveraging-msbuild-to-evade-detection Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея:.
В тексте обсуждается изощренная кибератака, обнаруженная Cyble Research и Intelligence Labs с использованием вредоносных программ.Файлы LNK распространяются с помощью фишинговых электронных писем. Злоумышленник использовал различные тактики, в том числе приглашения на семинары по правам человека в качестве приманки, чтобы внедрить в жертвы бэкдор, позволяющий удаленно управлять скомпрометированными системами. Кампания имеет сходство с бэкдором TinyTurla и приписывается группе Turla APT из России. Анализ выявляет проблемы, с которыми сталкиваются традиционные антивирусные решения при борьбе с появляющимися киберугрозами, и призывает к разработке комплексных стратегий безопасности для эффективного устранения таких угроз.
-----

Аналитическая компания Cyble Research and Intelligence Labs, занимающаяся анализом киберугроз, обнаружила сложную киберкампанию с использованием вредоносных программ.Файлы LNK, вероятно, распространяются через спам-рассылку.

Злоумышленник, стоявший за кампанией, использовал приглашения на семинары по правам человека и общественные консультации в качестве приманки для заражения жертв вредоносной программой.

Злоумышленник включил файлы lure PDF и MSBuild project в файлы .LNK для бесперебойного выполнения, используя Microsoft Build Engine (MSBuild) для доставки окончательной полезной нагрузки без использования файлов, действующей как черный ход.

Конечная полезная нагрузка имела сходство с бэкдором TinyTurla и предоставляла возможности удаленного управления, связи с сервером управления (C&C) и выполнения различных команд.

Атака была связана с распространением вредоносных файлов .Файлы LNK в ZIP-архивах, возможно, с помощью фишинговых электронных писем, запускали скрипт PowerShell для создания поддельных PDF-файлов и выполнения пользовательских проектов MSBuild.

Бэкдор использовал уникальный системный идентификатор для связи с C&C-сервером, связанным со взломанным веб-сайтом, связанным с российской Turla APT group, нацеленной на неправительственные организации, связанные с Украиной.

Кампания продемонстрировала эволюционирующий характер киберугроз и проблемы, с которыми сталкиваются традиционные антивирусные решения, подчеркнув необходимость разработки комплексных стратегий безопасности для эффективной борьбы с продвинутыми противниками.
#ParsedReport #CompletenessHigh
20-05-2024

Bad Karma, No Justice: Void Manticore Destructive Activities in Israel

https://research.checkpoint.com/2024/bad-karma-no-justice-void-manticore-destructive-activities-in-israel

Report completeness: High

Actors/Campaigns:
Void_manticore (motivation: hacktivism)
Scarred_manticore
Wildneutron

Threats:
Karma
Bibi-wiper
Foxshell
Liontail_tool
Lionhead_tool
Ad_explorer_tool
Zerocleare_wiper
Shadow_copies_delete_technique

Victims:
Israeli organizations, Albanian entities, Instat

Industry:
Government, Military

Geo:
Albania, Israeli, Iranian, Albanian, Israel

CVEs:
CVE-2019-0604 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint foundation (2013)
- microsoft sharepoint server (2010, 2019)
- microsoft sharepoint enterprise server (2016)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1561, T1070.004, T1496, T1485, T1105, T1555.003, T1219, T1600

IOCs:
File: 10
Command: 9
Path: 8
IP: 6
Hash: 7

Soft:
Telegram, OpenSSH, bcdedit, Windows Explorer, Windows File Explorer, SysInternals

Wallets:
harmony_wallet

Algorithms:
base64, xor

Functions:
GetString

YARA: Found

Links:
https://github.com/BeichenDream/Neo-reGeorg/tree/7cf25ae556ef5802b033e42a2d093e25e0e41c02
CTT Report Hub
#ParsedReport #CompletenessHigh 20-05-2024 Bad Karma, No Justice: Void Manticore Destructive Activities in Israel https://research.checkpoint.com/2024/bad-karma-no-justice-void-manticore-destructive-activities-in-israel Report completeness: High Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте содержится информация о деятельности иранского террориста Void Manticore, связанного с MOIS, который проводит разрушительные атаки по уничтожению и сотрудничает со Scarred Manticore. В нем подробно описываются их подрывные методы, использование онлайн-персонажей, таких как Homeland Justice и Karma, а также тактика стратегической психологической войны. Сотрудничество между двумя группами обеспечивает доступ к ценным объектам, а также выделяются конкретные соглашения о конфиденциальности, включающие пользовательские средства очистки и методы ручного уничтожения данных. Кроме того, упоминаются правила обнаружения угроз, которые гарантируют клиентам Check Point защиту от атак Void Manticore.
-----

В тексте описывается деятельность иранского злоумышленника, известного как Void Manticore, связанного с Министерством разведки и безопасности (MOIS). Void Manticore проводит деструктивные атаки по уничтожению информации в рамках своих операций и связан с различными онлайн-персонажами, в частности с Homeland Justice и Karma. Группа нацелилась на организации в Албании и Израиле, причем в виктимологии у нее есть заметные совпадения с другим действующим актором, представляющим угрозу, - Scarred Manticore.

Void Manticore использует пять основных методов для предотвращения сбоев в работе, включая пользовательские очистители как для Windows, так и для Linux, ручное удаление файлов и использование общих дисков. Тактика группы включает в себя простые методы с использованием общедоступных инструментов и базовых процедур, часто с использованием протокола удаленного рабочего стола (RDP) для боковых перемещений.

Выделено сотрудничество между Мантикорой Пустоты и Мантикорой со Шрамом, демонстрирующее систематическую передачу целей между двумя группами. Эта координация позволяет Мантикоре Пустоты получать доступ к ценным целям, чему способствуют расширенные возможности Мантикоры со Шрамом. В тексте также подробно рассказывается об использовании специальных дворников, таких как BiBi wiper, названный в честь премьер-министра Израиля Биньямина Нетаньяху, в своих нападениях.

В статье подчеркивается стратегическое использование различных онлайн-персонажей Void Manticore для усиления своей тактики психологической войны путем утечки информации и фактического уничтожения данных. Операции группы направлены на эскалацию политической напряженности и рассылку политически заряженных сообщений. Деятельность Void Manticore распространяется за пределы Израиля, включая нападения в Албании, демонстрируя широкую наступательную стратегию.

Кроме того, в тексте упоминаются конкретные TTP, используемые Void Manticore, включая использование пользовательских очистителей, нацеленных на определенные файлы или таблицу разделов зараженных систем. Группа известна тем, что проводит операции по уничтожению данных вручную с использованием законных утилит, таких как Windows File Explorer, SysInternal SDelete и Windows Format Utility.

Особое внимание уделяется сотрудничеству между Void Manticore и Scarred Manticore, что подчеркивает высокий уровень координации их операций. В тексте также подробно описаны правила обнаружения угроз, направленные на выявление вредоносных программ, связанных с Void Manticore. Клиенты Check Point могут быть уверены в защите от описанных атак благодаря использованию IP-адресов, Check Point Harmony Endpoint и эмуляции угроз.
#ParsedReport #CompletenessHigh
20-05-2024

Invisible miners: unveiling GHOSTENGINE s crypto mining operations

https://www.elastic.co/security-labs/invisible-miners-unveiling-ghostengine

Report completeness: High

Actors/Campaigns:
Ref4578

Threats:
Ghostengine
Hiddenshovel
Xmrig_miner
Iobit_tool
Process_injection_technique

Industry:
Financial

TTPs:
Tactics: 7
Technics: 0

IOCs:
File: 13
Path: 15
IP: 3
Coin: 1
Hash: 13
Domain: 3

Soft:
Windows Defender, curl, Microsoft Windows Defender

Crypto:
monero

Algorithms:
base64, sha256

Languages:
powershell

YARA: Found

Links:
https://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows\_Trojan\_GhostEngine.yar
https://github.com/elastic/protections-artifacts/blob/ecde1dfa1aaeb6ace99e758c2ba7d2e499f93515/behavior/rules/defense\_evasion\_binary\_masquerading\_via\_untrusted\_path.toml#L58
https://github.com/elastic/detection-rules/blob/79f575b33c747e0c3c5f7293c95f3ddab611e683/rules/windows/defense\_evasion\_microsoft\_defender\_tampering.toml
https://github.com/elastic/detection-rules/blob/79f575b33c747e0c3c5f7293c95f3ddab611e683/rules/windows/defense\_evasion\_clearing\_windows\_event\_logs.toml
https://github.com/elastic/protections-artifacts/blob/ecde1dfa1aaeb6ace99e758c2ba7d2e499f93515/yara/rules/Windows\_VulnDriver\_IoBitUnlocker.yar
https://github.com/elastic/detection-rules/blob/79f575b33c747e0c3c5f7293c95f3ddab611e683/rules/windows/execution\_command\_shell\_started\_by\_svchost.toml#L41
https://github.com/elastic/protections-artifacts/blob/ecde1dfa1aaeb6ace99e758c2ba7d2e499f93515/behavior/rules/execution\_suspicious\_powershell\_downloads.toml
https://github.com/elastic/detection-rules/blob/79f575b33c747e0c3c5f7293c95f3ddab611e683/rules/windows/persistence\_local\_scheduled\_task\_creation.toml
https://github.com/elastic/protections-artifacts/blob/ecde1dfa1aaeb6ace99e758c2ba7d2e499f93515/behavior/rules/privilege\_escalation\_potential\_privilege\_escalation\_via\_missing\_dll.toml
https://github.com/elastic/labs-releases/tree/main/indicators/ghostengine
https://github.com/elastic/detection-rules/blob/79f575b33c747e0c3c5f7293c95f3ddab611e683/rules/windows/privilege\_escalation\_service\_control\_spawned\_script\_int.toml
https://github.com/elastic/protections-artifacts/blob/ecde1dfa1aaeb6ace99e758c2ba7d2e499f93515/yara/rules/Windows\_VulnDriver\_ArPot.yar
https://github.com/elastic/detection-rules/blob/79f575b33c747e0c3c5f7293c95f3ddab611e683/rules/windows/defense\_evasion\_from\_unusual\_directory.toml