#ParsedReport #CompletenessMedium
16-09-2025

RevengeHotels: a new wave of attacks leveraging LLMs and VenomRAT

https://securelist.com/revengehotels-attacks-with-ai-and-venomrat-across-latin-america/117493/

Report completeness: Medium

Actors/Campaigns:
Ta558 (motivation: cyber_criminal, information_theft)

Threats:
Venomrat
Revenge_rat
Nanocore_rat
Njrat
Xworm_rat
Desckvbrat
Quasar_rat
Hvnc_tool
Ngrok_tool
Trojan.win32.generic

Industry:
Entertainment

Geo:
Portuguese, Spain, Mexico, Argentina, Costa rica, Latin america, Belarus, Turkey, Brazil, Brazilian, Spanish, Russia, Bolivia, Chile

CVEs:
CVE-2017-0199 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


IOCs:
File: 9
Hash: 8
Registry: 1

Soft:
Windows Registry, Windows Defender, task scheduler

Algorithms:
aes, lzma, base64, md5, exhibit, aes-128

Functions:
RAT

Win API:
SeDebugPrivilege, RtlSetProcessIsCritical, SetThreadExecutionState

Languages:
powershell, javascript, visual_basic

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
RevengeHotels, также известная как TA558, является хакерской группировкой, нацеленной на гостиничный сектор с 2015 года, главным образом для кражи информации о кредитных картах с помощью изощренных кампаний фишинга. Они используют вариант QuasarRAT под названием VenomRAT, который оснащен механизмами защиты от уничтожения и может распространяться через USB-накопители, обеспечивая закрепление и уклонение во время своих операций. Тактика группы расширилась и включает испаноязычные страны, совершенствуя свои стратегии фишинга за счет использования передовых инструментов, таких как большие языковые модели, для повышения эффективности своих атак.
-----

RevengeHotels, также известная как TA558, представляет собой хакерскую группировку, которая действует с 2015 года и в первую очередь нацелена на гостиничный сектор с целью кражи информации о кредитных картах у гостей отелей. Их стратегия атаки основана на рассылке фишингов электронных писем, которые побуждают получателей переходить по ссылкам, ведущим на сайты хранения поддельных документов. Эти сайты впоследствии загружают вредоносные скрипты, которые устанавливают троянские программы удаленного доступа (RAT) на компьютеры жертв. RAT позволяют злоумышленнику отдавать команды, красть конфиденциальные данные и поддерживать постоянный контроль над зараженными системами.

Группа обычно использует электронные письма с фишингом с тематикой выставления счетов, ориентированные на Адреса эл. почты для бронирования отелей, часто написанные на португальском языке, хотя также были отмечены попытки фишинга на испанском языке. Это указывает на расширение их охвата за пределы Бразилии и включение испаноязычных стран.

При открытии Вредоносной ссылки процесс заражения начинается с загрузки файла WScript JS, причем имена файлов меняются при каждой атаке, чтобы избежать обнаружения. Например, файл с именем Fat146571.js декодирует закодированный буфер, который сохраняется как скрипт PowerShell, выполняющийся несколько раз перед завершением.

Одним из основных типов вредоносного ПО, используемого RevengeHotels, является VenomRAT, усовершенствованная версия QuasarRAT с открытым исходным кодом, доступная для покупки в даркнете. VenomRAT включает функцию защиты от уничтожения, которая изменяет разрешения своего процесса для защиты от завершения, гарантируя, что RAT остается работоспособным в системе. Его сетевые возможности включают в себя создание пакетов на заказ и сериализацию в соответствии с конкретными командами, передаваемыми с сервера управления (C2).

Более того, VenomRAT может распространяться через USB-накопители, сканируя и копируя себя на съемные диски под именем My Pictures.exe . В нем реализованы различные методы скрытности, чтобы избежать обнаружения и отличаться от предыдущих вариантов RAT, повышая его закрепление и сложность удаления.

Недавний анализ показывает, что RevengeHotels не только усовершенствовала свои методы, но и расширила географию своей деятельности, теперь ориентируясь на отели и туристические компании во многих испаноязычных странах, таких как Аргентина, Боливия и Мексика. Злоумышленники используют передовые инструменты, в том числе агенты large language model (LLM), для создания и модификации контента для фишинга, что делает их кампании более сложными и адаптируемыми, поскольку они намерены продолжать развертывать атаки удаленного доступа с помощью VenomRAT.

#ParsedReport #CompletenessLow
16-09-2025

AWSDoor: Persistence on AWS

https://www.riskinsight-wavestone.com/en/2025/09/awsdoor-persistence-on-aws/

Report completeness: Low

Threats:
Awsdoor

Industry:
Critical_infrastructure, Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059, T1069, T1078, T1090, T1090, T1098, T1098, T1098, T1098, T1136, have more...

IOCs:
File: 4
IP: 1

Soft:
DynamoDB, boto3, curl, systemd, GuardDuty

Algorithms:
zip, hmac

Functions:
CreatePolicy, CreatePolicyVersion, SetDefaultPolicyVersion, get, CreateSnapshot, GetCommandInvocation, LeaveOrganization

Win API:
DeleteObject

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
AWSDoor освещает использование Amazon Веб-сервисов (AWS) злоумышленниками для поддержания постоянного доступа без использования традиционного вредоносного ПО. Злоумышленники манипулируют функциями AWS Identity and Access Management (IAM) и настройками безопасности, такими как создание ролей с повышенными привилегиями и развертывание обратных SSH-SOCKS-прокси для компрометации экземпляров EC2. Вмешиваясь в системы ведения журнала и оповещения, они могут уклоняться от обнаружения, отключать учетные записи от организаций и извлекать конфиденциальные данные, оставаясь незамеченными.
-----

AWSDoor освещает злоупотребление Amazon Веб-сервисами (AWS) для поддержания постоянного доступа со стороны злонамеренных акторов. В статье отмечается, что злоумышленники могут использовать функции AWS по управлению идентификацией и доступом (IAM) без необходимости развертывания традиционного вредоносного ПО. Вместо этого они изменяют политики IAM, создают новых пользователей и используют бэкдорные доверенные удостоверения, что позволяет им поддерживать доступ к облачным средам более скрытно, чем в локальных сценариях.

Один из рассмотренных методов заключается в манипулировании политиками доверия для предоставления повышенных привилегий. Злоумышленник может создать роль, которая выглядит безобидной, но на самом деле предоставляет права администратора. Например, лямбда-функция может быть запрограммирована на автоматическое повышение привилегий пользователя на основе обновлений в базе данных DynamoDB, что позволяет злоумышленникам динамически изменять уровни доступа по мере необходимости, оставаясь незамеченными.

Кроме того, злоумышленники могут использовать возможности AWS Systems Manager (SSM) для взлома инстансов EC2. Используя обратный SSH SOCKS-прокси, злоумышленник может закрепиться и выполнять команды удаленно. Эта тактика позволяет ему перемещаться по сети и поддерживать длительный доступ к конфиденциальным ресурсам.

Другим важным аспектом, о котором идет речь, является намеренное ослабление мер безопасности, называемое нарушением защиты. Злоумышленники могут отключить ведение журнала, изменять настройки безопасности или манипулировать системами оповещения, что значительно снижает шансы на обнаружение. Вероятность создания организационного следа, который будет распространяться по целевым учетным записям, снижается благодаря возможности злоумышленников изменять параметры выбора событий, чтобы предотвратить регистрацию важных данных.

Кроме того, отключив учетные записи AWS от организации, злоумышленники могут действовать без надзора. Они могут получать доступ к конфиденциальной информации из разделов и баз данных S3 и извлекать ее, в то время как организация продолжает функционировать в обычном режиме, что позволяет избежать возникновения аварийных ситуаций.

Реализация технологии AWSDoor включает в себя различные векторы атак, предназначенные для использования конфигураций IAM для обеспечения устойчивого доступа, таких как внедрение ключей доступа и политики инъекционного доверия. Системы мониторинга конечных пользователей часто упускают из виду определенные действия API, например, связанные с обновлением правил жизненного цикла, что позволяет злоумышленникам манипулировать доступностью данных, не привлекая внимания.

#ParsedReport #CompletenessMedium
16-09-2025

Deniability by Design: DNS-Driven Insights into a Malicious Ad Network

https://blogs.infoblox.com/threat-intelligence/deniability-by-design-dns-driven-insights-into-a-malicious-ad-network/

Report completeness: Medium

Actors/Campaigns:
Vane_viper (motivation: disinformation)
Doppelgnger (motivation: propaganda, disinformation)
Apt31
Master134

Threats:
4shared
Cloaking_technique
Lumma_stealer
Spear-phishing_technique
Gozi
Triada_trojan
Dollyway

Victims:
Adtech sector, Gambling sector, Piracy ecosystem, Pornography sector, Disinformation ecosystem, General internet users, Mobile users

Industry:
Entertainment, Financial, Healthcare, Retail

Geo:
Malta, Moscow, Anguilla, German, Singapore, London, Russia, Panama, Seychelles, Cyprus, Russian

ChatGPT TTPs:
do not use without manual check
T1027, T1190, T1204, T1583.001, T1583.003, T1584.001, T1608, T1659

IOCs:
Url: 1
Domain: 13
Email: 1
IP: 3

Soft:
Webzilla, Monetag, BeMob, RollerAds, Opera

Algorithms:
exhibit

Functions:
Every

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 7, chats: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В отчете обсуждается киберугроза, исходящая от Vane Viper, связанной с сетью компаний adtech, особое внимание уделяется Вредоносной рекламе и незаконной деятельности, осуществляемой с помощью этих платформ. Злоумышленники используют среду adtech для постоянного доступа, используя такие методы, как push-уведомления в браузере, рассылка вредоносного ПО через вредоносные APK-файлы и сложные тактики уклонения, включая системы доставки, основанные на времени, и динамическое cloaking. Массовая регистрация почти 60 000 доменов в сочетании с подключениями к рискованным регистраторам подчеркивает масштаб и сложность угроз, исходящих от этой экосистемы.
-----

Ландшафт киберугроз все чаще маскируется в рамках основной цифровой рекламы, где злоумышленники используют платформы adtech для распространения вредоносного контента. Этот отчет посвящен важной организации в этой области, называемой Vane Viper, которая связана с кипрской холдинговой компанией AdTech Holding, объединяющей различные фирмы adtech и martech, включая PropellerAds. Запутанная сеть этих компаний распространяется, в частности, на Notix, Adex и ProPush, раскрывая сложную экосистему, где каждый игрок вносит свой вклад в целый ряд незаконных действий, таких как Вредоносная реклама, азартные игры, пиратство и дезинформация.

Связи AdTech Holding вызывают серьезные опасения по поводу подотчетности и позволяют акторам использовать двусмысленность в своей деятельности. URL Solutions, регистратор, связанный с этими фирмами, приобрел дурную славу, заняв место одного из самых рискованных регистраторов в соответствии с алгоритмами оценки репутации. Связь с Webzilla, компанией, принадлежащей Константину Безрученко и связанной с различными спонсируемыми государством и преступными действиями, еще раз иллюстрирует риски в рамках этой сети adtech. В частности, Webzilla была причастна к размещению инфраструктуры для известных угроз, таких как ботнет для мошенничества с рекламой Methbot и значительные кампании по дезинформации.

В рамках этой экосистемы вредоносные акторы используют push-уведомления в браузере для поддержания постоянного доступа к конечным точкам, что облегчает доставку киберугроз. Например, было показано, что пользователи сталкиваются с вредоносным ПО, таким как троян, доставляемый через вредоносный APK-файл на такие устройства, как Google Pixel, с доменов Vane Viper. В операции используются различные тактики, включая использование систем доставки, основанных на времени (TDS), скомпрометированных сайтов-двойников и методов динамического cloaking, чтобы скрыть свои истинные намерения.

Благодаря массовой регистрации почти 60 000 уникальных доменов, часто недолговечных, Vane Viper поддерживает масштабируемую инфраструктуру, которая позволяет ему эффективно устранять киберугрозы на обширной территории. Это включает в себя использование подключений к URL-решениям и Webzilla для облегчения вредоносных кампаний. Совокупность этих связей дает убедительное представление о сети, глубоко укоренившейся в Вредоносной рекламе и других незаконных предприятиях, где правдоподобное отрицание служит щитом для исполнителей этих киберугроз. Угроза, исходящая от таких организаций, подчеркивает настоятельную необходимость тщательного изучения и принятия более эффективных мер по борьбе с использованием законных платформ цифровой рекламы в злонамеренных целях.

#ParsedReport #CompletenessHigh
16-09-2025

UNMASKING A PYTHON STEALER XillenStealer

https://www.cyfirma.com/research/unmasking-a-python-stealer-xillenstealer/

Report completeness: High

Threats:
Xillenstealer
Process_injection_technique

Victims:
Cryptocurrency sector, Messaging platforms, Web browsers, General users

Industry:
Entertainment

Geo:
Russian

TTPs:
Tactics: 8
Technics: 13

IOCs:
File: 6
Url: 1

Soft:
Telegram, Chrome, Discord, Steam, PyInstaller, qemu, virtualbox, Linux, Task Scheduler, Vivaldi, have more...

Wallets:
exodus_wallet, atomicwallet, coinomi, electrum

Algorithms:
sha256, exhibit

Functions:
check_vm_sandbox, install_persistence, get_system_info, get_browser_data, get_encryption_key, decrypt_password, get_wallets, get_discord_tokens, get_steam_data, get_telegram_sessions, have more...

Win API:
IsDebuggerPresent

Languages:
rust, python, javascript, java

Platforms:
cross-platform

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
XillenStealer - это программа для кражи информации на основе Python с открытым исходным кодом, которая нацелена на конфиденциальные пользовательские данные, включая сведения об Аппаратном обеспечении, сетевые конфигурации и учетные данные криптовалюты, а также извлекает сохраненные учетные данные браузера и делает снимки экрана. Вредоносное ПО использует интегрированный конструктор для настройки и развертывания, внедряя методы антианализа и устанавливая закрепление с помощью планировщика задач при входе в систему. Злоумышленник, по-видимому, является молодым русскоязычным разработчиком, связанным с сетью киберпреступников, способствующих распространению и монетизации вредоносного ПО.
-----

XillenStealer - это программа для кражи информации на основе Python с открытым исходным кодом, обнаруженная на GitHub, предназначенная для сбора конфиденциальных пользовательских данных с помощью модульных скриптов и собственных библиотек. Его функциональные возможности включают извлечение сведений об Аппаратном обеспечении, идентификаторах хостов, сетевых конфигурациях и учетных данных криптовалюты. Кроме того, он может извлекать сохраненные учетные данные браузера и делать снимки экрана, расширяя диапазон информации, которую он может скомпрометировать.

Основным инструментом для развертывания XillenStealer является его интегрированный конструктор, известный как XillenStealer Builder V3.0, который представляет собой графический интерфейс Python Tkinter. Этот конструктор позволяет операторам настраивать и компилировать сборки вредоносного ПО с определенными конфигурациями. Доступ к конструктору защищен с помощью аутентификации по паролю, в которой используется хэширование SHA-256. Операторы могут устанавливать различные параметры эксфильтрации, включая определение имени похитителя, токена Telegram-бота и идентификатора целевого чата для передачи данных, которые направляются через Telegram. Графический интерфейс обеспечивает поддержку выборочной активации модуля, охватывающего такие приложения, как Discord, Steam, различные крипто-кошельки и игровые лаунчеры. Процесс сборки автоматизирован, создаются исполняемые файлы с помощью таких инструментов, как PyInstaller и UPX, при этом отслеживается прогресс и запрашивается ввод данных пользователем.

Ключевое поведение вредоносного ПО включает методы антианализа, которые проверяют наличие сред виртуализации или изолированной среды, используя функции для обнаружения распространенных сигнатур виртуальных машин и отладчиков. После выполнения XillenStealer устанавливает закрепление, создавая запись в планировщике задач, которая запускается при входе пользователя в систему. Он проводит систематические файловые операции в профилях браузеров, ставя под угрозу сохраненные учетные данные и данные сеанса из распространенных браузеров, таких как Chrome, Firefox и других. Вредоносное ПО также нацелено на каталоги криптовалютных кошельков, включая Exodus и Coinomi, для извлечения конфиденциальной финансовой информации, наряду с получением данных сеанса из Telegram.

Злоумышленник, связанный с XillenStealer, скорее всего, русскоговорящий, а пользовательский дескриптор "BengaminButton" указывает на молодого разработчика с опытом программирования и тестирования на проникновение. Их деятельность поддерживается сетью киберпреступников, известных как Xillen Killers, которые занимаются разработкой, распространением и монетизацией этого вредоносного ПО через сервисы подписки.

XillenStealer представляет собой сложную и универсальную угрозу, способную воздействовать на множество платформ, включая Windows, Linux и macOS. Это дает низкоквалифицированным операторам инструменты для настройки и развертывания эффективного вредоносного ПО, подчеркивая меняющийся ландшафт угроз и доступность таких киберпреступных ресурсов.

#ParsedReport #CompletenessLow
16-09-2025

Malware campaign abuses legitimate RMM tools via fake document sharing

https://cert-agid.gov.it/news/campagna-malware-abusa-di-strumenti-di-rmm-legittimi-tramite-falsa-condivisione-di-documenti/

Report completeness: Low

Threats:
Pdq_connect_tool
Action1_tool

Geo:
Italy

Soft:
Microsoft Outlook

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя кампания по борьбе с вредоносным ПО нацелена на жертв с помощью фишинг-сообщений, которые используют законные инструменты удаленного мониторинга и управления (RMM). Злоумышленники используют обманчивые методы обмена документами, побуждая пользователей взаимодействовать с Вредоносными файлами или ссылками, облегчая несанкционированный доступ к системам. Эта тенденция подчеркивает использование надежных инструментов для повышения оперативной скрытности, что усложняет обнаружение угрозы и распознавание ее жертвой.
-----

Недавно была выявлена кампания по распространению вредоносного ПО, которая использует законные инструменты удаленного мониторинга и управления (RMM) с помощью обманчивых методов обмена документами. Эта кампания проходит по аналогичной траектории с более ранним методом распространения, в котором использовался поддельный патч для цифровой подписи. Примечательно, что текущие попытки фишинга осуществляются с использованием сообщений на английском языке, что указывает на адаптацию для целевой аудитории или регионов.

Злоумышленники используют искусственные средства, чтобы придать своим сообщениям видимость достоверности, вероятно, имитируя законные методы, связанные с обменом документами. Вредоносный контент в этих сообщениях побуждает жертв взаимодействовать с Вредоносными файлами или ссылками, что позволяет внедрять вредоносное ПО. Использование законных инструментов RMM в таких атаках подразумевает, что злоумышленники стремятся получить несанкционированный доступ к системам жертв, что потенциально позволяет им выполнять различные вредоносные действия незамеченными.

Этот метод подчеркивает растущую тенденцию, когда злоумышленники используют надежные инструменты для повышения скрытности и эффективности своей работы. Такой подход не только усложняет усилия по обнаружению, но и затрудняет распознавание угрозы жертвами из-за знакомства с используемыми инструментами RMM. Постоянная бдительность и надежные меры по кибербезопасности необходимы для противодействия этой эволюционирующей тактике, особенно в контексте практики обмена документами, которая остается излюбленным направлением деятельности киберпреступников.

#ParsedReport #CompletenessUnknown
16-09-2025

WhiteCobra Playbook Exposed: Critical Mistake Reveals 24-Extension Campaign Targeting VS Code and Cursor

https://www.koi.security/blog/whitecobra-vscode-cursor-extensions-malware

Report completeness: Unknown

Threats:
Screenconnect_tool
Lumma_stealer
Anydesk_tool

Industry:
Financial, E-commerce

IOCs:
File: 20
Url: 2
Domain: 3
Hash: 8

Soft:
VSCode, Twitter, chrome, Hugging Face

Crypto:
ethereum

Algorithms:
base64, zip

Functions:
ShowPrompt, Remove-Item, writeFileSync, setTimeout, createTmpDir

Win API:
decompress, HeapAlloc, HeapCreate, RtlMoveMemory, CreateThread, WaitForSingleObject

Win Services:
WebClient

Languages:
solidity, powershell, python

Platforms:
intel, cross-platform, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
WhiteCobra нацелена на пользователей Visual Studio Code с помощью вредоносных расширений, предназначенных для кражи конфиденциальной информации, в соответствии со структурированной пятиэтапной стратегией развертывания вредоносного ПО. Их работа включает в себя создание вводящих в заблуждение расширений, использование социальной инженерии для продвижения и создание поддельной популярности для привлечения пользователей. Вредоносное ПО LummaStealer использует методы обфускации и использует, казалось бы, безобидный файл для выполнения своей полезной нагрузки, что позволяет быстро внедрять новые варианты даже после удаления, подчеркивая значительные риски в экосистеме разработки программного обеспечения.
-----

Киберкампания WhiteCobra в первую очередь нацелена на пользователей Visual Studio Code (VS Code) с помощью серии вредоносных расширений, предназначенных для извлечения конфиденциальной информации. Технические подробности этой операции раскрывают структурированную пятиэтапную стратегию развертывания их вредоносного ПО, которую они определяют в документе с надписью "ПЛАН развертывания: операция Solidity Pro"..

Первый этап включает упаковку вредоносных файлов VSIX, содержащих полезную нагрузку. Далее, на этапе развертывания, WhiteCobra загружает эти файлы в OpenVSX marketplace, создавая убедительные описания, чтобы ввести пользователей в заблуждение. На этапе продвижения используется тактика социальной инженерии, создающая искусственную срочность и использующая ложные социальные доказательства с помощью манипулируемых социальных сетей. Впоследствии они раздувают свою предполагаемую популярность путем создания поддельных загрузок с помощью скриптов, направленных на то, чтобы убедить потенциальных жертв в полезности расширений. Наконец, на этапе эксфильтрации они отслеживают украденные исходные фразы в режиме реального времени и способствуют немедленному переводу любых скомпрометированных средств.

Технический анализ цепочки доставки полезной нагрузки WhiteCobra выявляет многоуровневые методы запутывания. Первоначальное выполнение происходит через безобидный файл с именем "extension.js ," который имитирует стандартное расширение VSCode, таким образом избегая немедленного изучения. Этот файл содержит минимальную функциональность с вызовом функции, предназначенной для выполнения дальнейших вредоносных задач. Затем расширение использует PowerShell для загрузки сценария на Python, закодированного для уклонения. Впоследствии выполняется фактическая полезная нагрузка, исполняемый файл PE, известный как LummaStealer, который специализируется на сборе информации, связанной с криптовалютой, со взломанных компьютеров.

Несмотря на успешное удаление 24 существующих вариантов вредоносных расширений, устойчивый характер WhiteCobra позволяет им быстро внедрять новые угрозы, обычно в течение трех часов с момента подготовки до выполнения. Такая модель поведения подчеркивает значительный риск, который представляют такие акторы в экосистеме разработки программного обеспечения, демонстрируя их способность использовать уязвимости и обманные методы для привлечения пользователей.

#ParsedReport #CompletenessMedium
16-09-2025

Elons (Proxima/Black Shadow related) ransomware attack via Oracle DBS External Jobs

https://labs.yarix.com/2025/09/elons-proxima-black-shadow-related-ransomware-attack-via-oracle-dbs-external-jobs/

Report completeness: Medium

Actors/Campaigns:
Black_shadow (motivation: cyber_espionage, cyber_criminal)

Threats:
Proxima
Ngrok_tool
Process_hacker_tool
Rclone_tool
Quasar_rat

Victims:
Enterprise

Industry:
Government

Geo:
Russian, Morocco

TTPs:
Tactics: 8
Technics: 20

IOCs:
File: 16
IP: 2
Command: 7
Path: 1
Registry: 1
Email: 2

Soft:
Windows Performance Monitor, Telegram

Algorithms:
base64

Win Services:
WebClient

Languages:
powershell

Links:
https://"https://github.com/quentinhardy/odat/blob/master-python3/DbmsScheduler.py"
https://github.com/facct-ransomware/Ransomware/blob/main/Proxima/ransom\_notes/BlackShadow/Elons\_Help.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4