#ParsedReport #CompletenessLow
20-09-2025

EDR-Freeze: A Tool That Puts EDRs And Antivirus Into A Coma State

https://www.zerosalarium.com/2025/09/EDR-Freeze-Puts-EDRs-Antivirus-Into-Coma.html

Report completeness: Low

Threats:
Edr-freeze_tool
Byovd_technique

Victims:
Edr vendors, Antivirus vendors, Windows defender users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.001, T1036.003, T1068, T1562.001, T1574.002

IOCs:
File: 2

Soft:
Windows Error Reporting, Process Explorer, Windows Defender

Functions:
CreateProcessAsPPL

Win API:
Minidumpwritedump, CreateProcess, OpenProcess, NtSuspendProcess

Win Services:
MsMpEng

Links:
https://github.com/TwoSevenOneT/WSASS
have more...
https://github.com/TwoSevenOneT/CreateProcessAsPPL

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Появление EDR-Freeze иллюстрирует тенденцию в техниках кибератак, в частности, методологию "Принеси свой собственный уязвимый драйвер" (BYOVD) для обхода механизмов безопасности, таких как EDR и антивирусные решения. EDR-Freeze использует функцию MiniDumpWriteDump для приостановки операций EDR и антивируса, позволяя манипулировать этими средствами защиты. Кроме того, злоумышленники могут использовать символические ссылки Windows с уязвимыми драйверами, осуществлять Маскировку путей и использовать перенаправление папок для нарушения функциональности Защитника Windows, выявляя значительные риски для целостности конечных точек.
-----

Появление таких инструментов, как EDR-Freeze, подчеркивает тревожную тенденцию в техниках кибератак, особенно связанную со стратегией BYOVD (Принесите свой собственный уязвимый драйвер) для обхода механизмов безопасности, таких как системы обнаружения конечных точек и реагирования (EDR) и антивирусное программное обеспечение. EDR-Freeze использует функцию MiniDumpWriteDump, которая приостанавливает все потоки в целевом процессе, чтобы эффективно "заморозить" работу EDR и антивирусных процессов, позволяя злоумышленникам манипулировать этими средствами защиты. Эта тактика также требует преодоления защиты Protected Process Light (PPL), которая защищает критически важные компоненты системы, включая EDR и антивирусные программы.

Благодаря значительному усовершенствованию метода BYOVD злоумышленники могут использовать комбинацию символических ссылок Windows наряду с уязвимыми драйверами, расширяя область потенциальных эксплойтов. Это позволяет злоумышленникам нацеливаться на большее число драйверов, обладающих возможностями записи файлов, что повышает их способность эффективно нарушать меры безопасности. Очевидно, что этот новый подход был описан в контексте отключения защитника Windows в Windows 11.

Другим обсуждаемым методом уклонения является Маскировка путей, которая позволяет злоумышленникам со стандартными пользовательскими привилегиями имитировать законные пути системных процессов, в частности исполняемый файл службы защиты от вредоносных программ, тем самым избегая обнаружения. Это включает в себя тщательный контроль событий создания процесса и контекста командной строки, чтобы сочетать вредоносные действия с безобидными на вид операциями.

Кроме того, злоумышленники могут использовать такие методы, как перенаправление папок, чтобы обойти защитную оболочку Защитника Windows. Получая доступ к защищенным папкам, содержащим исполняемые файлы Defender, они могут манипулировать его операциями, например, загружать вредоносные библиотеки DLL или повреждать исполняемые файлы, чтобы нарушить функциональность Defender.

В статье также отмечается, что PPL - это надежная функция, защищающая жизненно важные процессы в Windows, часто используемая EDR и антивирусными решениями. Однако разрабатываются методы для использования процессов, защищенных PPL, путем создания процессов с функциональными возможностями PPL, что эффективно позволяет злоумышленникам выполнять действия, которые обычно остаются недоступными без явной поддержки со стороны драйверов Windows.

Таким образом, эти изменения отражают заметную тенденцию в использовании методов, направленных на подрыв протоколов безопасности в операционных системах, создавая значительные риски для целостности конечных точек и общей устойчивости к кибербезопасности.

#ParsedReport #CompletenessLow
18-09-2025

From Abstract Terms to Acumen: SEO Poisoning

https://medium.com/@cyb3r-hawk/from-abstract-terms-to-acumen-seo-poisoning-b4152ee21594

Report completeness: Low

Threats:
Seo_poisoning_technique
Cloaking_technique

Victims:
Ecommerce users

Industry:
E-commerce

ChatGPT TTPs:
do not use without manual check
T1071.001, T1189, T1204.001, T1204.003

IOCs:
Domain: 1
File: 1
Url: 28

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SEO poisoning - это метод кибератаки, при котором злоумышленники создают "страницы doorway", оптимизированные для Поисковых систем, чтобы ввести пользователей в заблуждение и заставить их посещать вредоносные сайты. Эти страницы содержат HTML-код, напоминающий легальный контент для электронной коммерции, эффективно индексируемый благодаря стратегическому использованию ключевых слов. Пользователи, ищущие товары, могут переходить по этим ссылкам только для того, чтобы быть перенаправленными с помощью команд JavaScript на мошеннические веб-сайты, подвергая их таким рискам, как кража данных или установка вредоносного ПО.
-----

SEO poisoning - это метод кибератаки, при котором злоумышленники манипулируют поисковой оптимизацией, чтобы направлять пользователей на вредоносные сайты. Важным используемым методом является создание "страниц doorway", которые предназначены для высокого рейтинга в результатах поиска благодаря стратегическому использованию ключевых слов.

В основе этих страниц doorway лежит HTML-код, содержащий полный код легального магазина электронной коммерции, в комплекте с меню, категориями товаров и популярными ключевыми словами. Эта настройка позволяет поисковым системам, таким как Google, эффективно индексировать контент, поскольку они обычно не выполняют перенаправления JavaScript (JS) во время процесса индексации. В результате эти страницы могут обеспечить высокую видимость в результатах поиска, даже если они предназначены для введения пользователей в заблуждение.

Типичный путь пользователя начинается с того, что он ищет конкретные товары, такие как "Сумки Louis Vuitton в продаже". Страница doorway появляется в результатах поиска благодаря богатому содержанию ключевых слов. Как только пользователь нажимает на ссылку, его обманывают, заставляя поверить, что он найдет привлекательное предложение. Однако, прежде чем будет представлен какой-либо контент, связанный с поддельным магазином, команда JavaScript, в частности "location.replace()", запускает перенаправление на другой веб-сайт (например, www.vapormax-plus.us ), который является мошенническим по своей природе. Этот быстрый переход эффективно скрывает вредоносную цель атаки, застигая пользователей врасплох и потенциально подвергая их дальнейшим угрозам, таким как кража данных или установка вредоносного ПО.

#ParsedReport #CompletenessHigh
18-09-2025

Tracking AsyncRAT via Trojanized ScreenConnect and Open Directories

https://hunt.io/blog/asyncrat-screenconnect-open-directory-campaigns

Report completeness: High

Threats:
Asyncrat
Screenconnect_tool
Supply_chain_technique
Clickonce
Chainverb
Amsi_bypass_technique
Process_injection_technique
Opendir_technique

Victims:
Us based organizations

Industry:
Telco

Geo:
Turkey, Germany

CVEs:
CVE-2025-3935 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.001, T1036, T1053.005, T1055, T1059.001, T1059.005, T1071.001, T1078, T1102, T1105, have more...

IOCs:
IP: 13
Domain: 6
File: 20
Url: 13
Path: 3
Hash: 19

Soft:
Windows Task Scheduler, Zoom

Algorithms:
md5, sha256

Languages:
powershell, javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, windows: 12, chart: 1, code: 6, table: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В статье анализируется AsyncRAT, троян удаленного доступа, используемый в многоэтапных атаках с использованием троянских установщиков ScreenConnect. Злоумышленники используют загрузчики ClickOnce для динамической доставки полезных данных с использованием WScript.Оболочка для выполнения через дроппер (Ab.vbs) и поддержания закрепления с помощью запланированных задач. Вредоносное ПО работает с использованием общих портов, таких как 21, 80 и 443, часто зашифрованных с помощью TLS, в то время как полезные нагрузки демонстрируют низкие показатели обнаружения в VirusTotal, что указывает на передовые методы обфускации.
-----

В статье обсуждается отслеживание AsyncRAT, троянца удаленного доступа (RAT), используемого наряду с троянскими установщиками ScreenConnect в многоэтапной атаке. Злоумышленники развертывают AsyncRAT и пользовательский PowerShell RAT с помощью загрузчиков ClickOnce, которые динамически извлекают полезные данные во время выполнения, повышая скрытность и усложняя обнаружение. Анализ выявил по меньшей мере восемь IP-адресов, связанных с этой вредоносной инфраструктурой, включая 176.65.139.119 и 45.74.16.71, которые были идентифицированы через открытые каталоги, содержащие пакеты вредоносного ПО.

Наблюдаемый процесс заражения обычно инициируется с помощью капельницы (Ab.vbs), использующей WScript.Оболочка для выполнения файла ярлыков Microsoft (.lnk), настроенного для вызова PowerShell с обходом политик выполнения. Это приводит к выполнению другого скрипта, Skype.ps1, из общедоступной папки. Закрепление атаки достигается за счет частых запланированных задач, таких как SystemInstallTask, которые выполняются с агрессивными интервалами, что предполагает продуманную стратегию сохранения доступа, даже если первоначальные переносчики заражения уничтожены.

AsyncRAT использует общие коммуникационные порты, включая 21, 80 и 443, и использует широкий спектр временных портов, часто обернутых в TLS для шифрования. Платформа attack framework демонстрирует изощренное использование тактик эксплуатации, включая встроенное внедрение и выполнение в памяти для обхода традиционных мер безопасности. Примечательно, что наблюдаемые полезные нагрузки имели низкие показатели обнаружения в VirusTotal, что указывает на то, что они могут быть недавно созданы или запутаны, чтобы обойти защиту на основе сигнатур.

Чтобы смягчить такие угрозы, в статье предлагается несколько стратегий: введение строгого списка разрешений для установщиков, мониторинг URL-адресов ClickOnce на сетевых контрольных точках, развертывание поведенческого обнаружения методов выполнения в памяти и ограничение выполнения скриптов из общедоступных каталогов, доступных для записи. Кроме того, организациям следует проводить упреждающий поиск угроз для выявления индикаторов компрометации (IOC), связанных с этой тактикой, использовать Многофакторную аутентификацию и регулярно проверять доступ поставщиков к критически важным системам.

Этот анализ освещает передовую тактику и мастерство злоумышленников, подчеркивая необходимость многоуровневой стратегии защиты, которая выходит за рамки простого обнаружения хэша и включает анализ на основе поведения и сетевые телеметрические данные для эффективного противодействия меняющемуся ландшафту киберугроз.

#ParsedReport #CompletenessLow
18-09-2025

Could The Belsen Group Be Associated With ZeroSevenGroup?

https://www.kelacyber.com/blog/could-the-belsen-group-be-associated-with-zerosevengroup/

Report completeness: Low

Actors/Campaigns:
Belsen (motivation: cyber_criminal)
Zerosevengroup (motivation: cyber_criminal)
Zerox296

Threats:
Medusa_ransomware

Victims:
Fortinet fortigate device users, Toyota us branch, Companies

Industry:
Government

Geo:
Brazil, Usa, Asia, Russia, Africa, Israel, Yemen, Japan, Italian, Poland

CVEs:
CVE-2022-406841 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1190, T1567.002, T1585.001, T1589, T1593, T1597

Soft:
Telegram, Twitter

Algorithms:
exhibit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа компаний Belsen, действующая с января 2025 года, допустила утечку 1,6 ГБ данных с более чем 15 000 уязвимых устройств Fortinet из-за CVE-2022-406841, что указывает на постоянный доступ до взлома. Сначала они предлагали данные для проверки достоверности, а затем попытались монетизировать доступ. Между тем, с середины 2024 года ZeroSevenGroup атаковала различные компании, в частности, американское отделение Toyota, и их общая тактика с Belsen, включая схожие стили общения, предполагают потенциальное сотрудничество в киберпреступной деятельности.
-----

Расследование деятельности Belsen Group и ее потенциальной связи с ZeroSevenGroup выявило меняющийся ландшафт киберпреступной деятельности, связанной с Йеменом. Группа компаний Belsen появилась в январе 2025 года и попала в заголовки газет главным образом благодаря утечке 1,6 ГБ конфиденциальных данных с более чем 15 000 уязвимых устройств Fortinet FortiGate. Этот эксплойт был реализован с использованием CVE-2022-406841, критической уязвимости для обхода аутентификации в брандмауэрах Fortinet, которая предполагает, что группа Belsen, возможно, имела постоянный доступ к этим устройствам в течение длительного времени, прежде чем инициировать утечку данных.

Начальный этап деятельности Belsen Group включал в себя бесплатное предоставление утечек данных для установления доверия, за которым последовали попытки монетизировать доступ к скомпрометированным сетям в различных регионах, включая Африку, США и Азию. Однако по-прежнему нет никаких доказательств, подтверждающих, что доступ к сети, который они якобы продали, был успешно использован или получен третьими лицами. Коммуникационная стратегия группы включала использование таких платформ, как Tox, XMPP, Telegram и Социальные сети, для поддержания контактов с потенциальными клиентами или аудиториями, что было дополнено созданием сайта onion, на котором подробно описывалась их деятельность.

С другой стороны, ZeroSevenGroup, которая работает с середины 2024 года, имеет опыт эксплуатации многочисленных компаний и монетизации украденных данных. Эта группа идентифицирована как активная на нескольких платформах, включая NulledTo и BreachForums, где они нацелены на фирмы на ключевых международных рынках, таких как Польша, Израиль и США. Их деятельность достигла заметного пика после взлома американского филиала Toyota, где произошла утечка внушительных 240 ГБ конфиденциальной информации. Этот инцидент стал примером их тактики первоначального предоставления бесплатных данных, прежде чем перейти к продаже больших наборов данных, которые часто размещались в Облачных сервисах, таких как Terabox и Mega, для распространения.

Тщательный анализ показывает, что обе группы демонстрируют поразительное сходство в форматировании постов и стилях общения, а в их соответствующих постах на форумах по киберпреступности наблюдаются свидетельства общей тактики. В частности, обе группы использовали идентичные форматы заголовков в своих сообщениях, используя квадратные скобки и согласованную формулировку, а также схожую стратегию использования хэштегов на таких платформах, как Twitter. Эти показатели потенциально указывают на совместное поведение или, по крайней мере, скоординированный подход к их киберпреступной деятельности, что требует дальнейшего изучения их операционных структур и взаимосвязей в рамках более широкого ландшафта киберугроз.

#ParsedReport #CompletenessLow
19-09-2025

New Phishing Attack Targets Facebook Users to Steal Login Credentials

https://cybersecuritynews.com/new-phishing-attack-targets-facebook-users/

Report completeness: Low

Victims:
Facebook users

Geo:
Spanish, German, Korean

ChatGPT TTPs:
do not use without manual check
T1204.001, T1556.003, T1566.002

IOCs:
Url: 9

Soft:
twitter

Languages:
javascript, php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя кампания по фишингу нацелена на пользователей Facebook, которые рассылают тщательно подготовленные электронные письма, предназначенные для кражи учетных данных для входа с помощью социальной инженерии. В атаке используется механизм перенаправления, который использует систему предупреждения URL-адресов Facebook, заманивая жертв переходить по Вредоносным ссылкам, ведущим на поддельные страницы входа в Facebook. Такой подход манипулирует доверием пользователей к Facebook, облегчая злоумышленникам сбор конфиденциальной информации без немедленного распознавания угрозы.
-----

Недавняя изощренная кампания по фишингу специально нацелена на пользователей Facebook с целью кражи их учетных данных для входа в систему с помощью тщательно подготовленных электронных писем. Этот тип атак использует методы социальной инженерии для манипулирования пользователями с целью раскрытия конфиденциальной информации.

Схема фишинга использует механизм заражения на основе перенаправления, который использует преимущества системы предупреждения о внешних URL-адресах, используемой Facebook. Умело оформляя контент таким образом, чтобы он выглядел законным, злоумышленникам удается заманить жертв к переходу по Вредоносным ссылкам. Этот инновационный подход использует доверие пользователей к установленным протоколам Facebook, облегчая злоумышленникам обход типичных средств защиты.

Как только целевые пользователи переходят по предоставленным ссылкам, они перенаправляются на сайты фишинга, созданные для имитации законной страницы входа в Facebook. Именно в этот момент жертвам предлагается ввести свои учетные данные, неосознанно передавая их злоумышленникам. Дизайн кампании гарантирует, что пользователи могут не сразу распознать враждебные намерения, поскольку сообщение, по-видимому, исходит из надежного источника.

Зависимость от тщательно составленных электронных писем и кажущихся законными целевых страниц подчеркивает острую необходимость в расширенном обучении пользователей методам выявления попыток фишинга. Пользователям рекомендуется сохранять бдительность, внимательно изучая неожиданные сообщения, особенно те, которые запрашивают конфиденциальную информацию или предписывают им вводить учетные данные на незнакомых сайтах.

#ParsedReport #CompletenessHigh
17-09-2025

Modus Operandi of Subtle Snail

https://catalyst.prodaft.com/public/report/modus-operandi-of-subtle-snail/overview

Report completeness: High

Actors/Campaigns:
Tortoiseshell (motivation: cyber_espionage)
Charming_kitten

Threats:
Minibike
Dll_sideloading_technique
Process_hollowing_technique
Spear-phishing_technique
Dllsearchorder_hijacking_technique

Victims:
Telecommunications

Industry:
Telco, Financial, Aerospace, Critical_infrastructure

Geo:
Iran, Dutch

TTPs:
Tactics: 13
Technics: 22

IOCs:
File: 20
Path: 1
Domain: 4
Hash: 10
Registry: 1
Command: 1

Soft:
Chrome, Microsoft Edge, Google Chrome, Windows Hello, Outlook, Active Directory

Algorithms:
xor, exhibit, zip

Win API:
GetComputerNameExW, GetUserNameW, CopyFile2, QueryPerformanceCounter

Win Services:
BITS

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Иранская группа кибершпионажа UNC1549 нацелена на телекоммуникационные сети, используя сложные инструменты, включая бэкдор, который загружает дополнительные библиотеки DLL и взаимодействует с сервером управления с помощью шифрования на основе XOR. Их методология включает в себя обширную разведку, социальную инженерию с помощью поддельных предложений о работе и DLL Sideloading для первоначального доступа. После установки бэкдор обеспечивает закрепление и эксфильтрацию данных за счет скрытой обработки конфиденциальной информации при сохранении постоянного доступа к критически важным системам.
-----

UNC1549 - иранская группа кибершпионажа, специализирующаяся на телекоммуникационных сетях.

Их инструментарий включает в себя основной бэкдор для загрузки библиотек динамической компоновки (DLL-файлов) в скомпрометированные системы.

Бэкдор взаимодействует с сервером управления (C2), используя алгоритм на основе XOR для расшифровки строк во время выполнения.

Группа использует кейлоггер, реализованный с помощью библиотеки DLL, для расшифровки которого используются методы линейного конгруэнтного генератора и процедуры обфускации.

Они также развертывают средство перехвата данных браузера для сбора данных браузера и средство перехвата Outlook/Winlogon для извлечения учетных данных Windows и Outlook.

UNC1549 проводит разведку с целью выявления персонала с высоким уровнем доступа, используя общедоступные источники, такие как LinkedIn.

Они используют поддельные учетные записи HR, чтобы заманивать цели сфабрикованными предложениями о работе, что приводит к эксплуатации с помощью вредоносной DLL sideloading в подписанные двоичные файлы.

Бэкдор предназначен для сохранения при запуске системы, поддерживая доступ в разных сеансах.

Повышение привилегий достигается путем использования законных двоичных файлов с повышенными привилегиями.

Инфраструктура C2 размещена в Azure, что позволяет маскировать вредоносный трафик в рамках законных коммуникаций.

Стратегии эксфильтрации данных включают автоматическую идентификацию конфиденциальной информации и загрузку фрагментами, чтобы избежать обнаружения при мониторинге полосы пропускания.

Операции UNC1549's позволяют им поддерживать долгосрочный доступ при скрытном извлечении конфиденциальных данных.

Их деятельность сопряжена со значительными рисками утечки данных и уязвимостей в целевых компаниях.

#ParsedReport #CompletenessHigh
15-09-2025

Threat Actor Profile: APT27

https://www.dexpose.io/threat-actor-profile-apt27/

Report completeness: High

Actors/Campaigns:
Emissary_panda (motivation: hacktivism, cyber_espionage, information_theft, financially_motivated)
Stealthytrident
Akira_ransomware
I-soon_leak (motivation: information_theft)
Coldface
Winnti

Threats:
Proxylogon_exploit
Hyperbro
Supply_chain_technique
Sysupdate
Polar_ransomware
Drbcontrol
Plugx_rat
Devman
Akira_ransomware
Spear-phishing_technique
Watering_hole_technique
Zxshell
Gh0st_rat
Httpbrowser
Aspxspy_shell
Chinachopper
Credential_dumping_technique
Mimikatz_tool
Gsecdump
Pandora
Fscan_tool
Owaauth
Shadowpad
Proxyshell_vuln
Log4shell_vuln
Tmanger
Dll_sideloading_technique
Antak
Pwdump_tool
Nbtscan_tool
Impacket_tool
Psexec_tool
Smbexec_tool
Eternalblue_vuln
Godzilla_webshell
Nglite
Kdcsponge_stealer
Rshell
Cobalt_strike_tool
Lazagne_tool
Iox_tool
Credential_harvesting_technique
Lolbin_technique
Adfind_tool
Secretsdump_tool
Passworddumper_tool
Kekeo_tool
Twoface
Dll_hijacking_technique
Shadow_copies_delete_technique
Process_injection_technique
Screen_shotting_technique
Process_hollowing_technique

Victims:
Government, Telecommunications, Multinational electronics manufacturer, State legislature, Healthcare, Defense, Energy, Technology, Education, Higher education, have more...

Industry:
Energy, Government, Aerospace, Telco, Military, Education, Healthcare, Transport, Entertainment, Foodtech

Geo:
America, Middle east, Germany, German, Hong kong, Afghanistan, Chinese, Philippines, Asian, China, Pakistan, Lithuania, Taiwan, Mongolia, Singapore, Asia, Iran, India, Taiwanese

CVEs:
CVE-2021-45105 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-44228 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-40539 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-26855 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2017-11882 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-27065 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2017-0213 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2018-0798 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2014-6324 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-26857 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2019-0604 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-26858 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2017-0144 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-44077 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 12
Technics: 45

IOCs:
File: 20
IP: 1
Url: 1
Hash: 18

Soft:
Microsoft Exchange, Linux, BitLocker, Twitter, ASP.NET, Apache Tomcat, Outlook, psexec, Microsoft Exchange Server, macOS, have more...

Algorithms:
des, exhibit, shikata_ga_nai

Functions:
CreateMedia, CreateTsMediaAdm

Languages:
powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4