#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Система анализа угроз Microsoft выявила кампанию фишинга с использованием учетных данных, сгенерированную искусственным интеллектом, внедренную в SVG-файл для сокрытия злонамеренных намерений. В атаке была задействована скомпрометированная Учетная запись эл. почты малого бизнеса, использующая электронные письма с самостоятельным адресом, чтобы избежать обнаружения и имитировать законные уведомления об обмене файлами, чтобы обманом заставить получателей поделиться учетными данными. Хотя была отмечена сложность полезных данных, генерируемых искусственным интеллектом, это существенно не меняет характеристик, на которые полагаются системы безопасности при обнаружении угроз фишинга.
-----

Microsoft Threat Intelligence недавно выявила и предотвратила кампанию фишинга учетных данных, в ходе которой использовались передовые методы, включающие код, сгенерированный искусственным интеллектом, для сокрытия вредоносной полезной нагрузки. Кампания использовала сложный подход, внедрив свое вредоносное поведение в SVG-файл, который был пропитан деловым жаргоном и синтетической структурой, предназначенной для маскировки ее истинных намерений. Анализ Microsoft Security Copilot определил, что сложность и многословие кода намекают на его происхождение от искусственного интеллекта, предполагая, что это не был типичный код, созданный человеком, из-за его сложного дизайна и ограниченной практической полезности.

Кампания по фишингу, обнаруженная 18 августа, включала использование скомпрометированной Учетной записи эл. почты малого бизнеса для рассылки фишингов электронных писем с credential-stealing. Примечательная тактика включала использование метода самоадресации электронной почты, при котором адреса отправителя и получателя были идентичны, в то время как фактические адреса адресатов были скрыты в поле BCC. Этот метод потенциально позволял злоумышленникам обходить основные меры обнаружения. Содержание этих электронных писем было сфабриковано таким образом, чтобы походить на законные уведомления об обмене файлами, тем самым повышая вероятность успешного обмана получателей с целью разглашения их учетных данных.

Хотя использование искусственного интеллекта для обфускации полезной нагрузки отражает заметный прогресс в изощренности злоумышленников, крайне важно признать, что искусственный интеллект принципиально не изменяет характеристики или поведение, от которых зависят системы безопасности при обнаружении угроз фишинга. Хотя код, сгенерированный искусственным интеллектом, может обладать повышенной сложностью и усовершенствованным синтаксисом, он по-прежнему функционирует в рамках тех же поведенческих рамок, что и традиционные атаки фишинга, созданные человеком. В результате меры безопасности остаются применимыми, несмотря на эти новые методы.

Microsoft Defender XDR предлагает широкий спектр возможностей обнаружения для мониторинга таких возникающих угроз и реагирования на них на различных платформах, включая конечные точки и приложения электронной почты.

#ParsedReport #CompletenessMedium
24-09-2025

Inside Vietnamese Threat Actor Lone Nones Copyright Takedown-Spoofing Campaign

https://cofense.com/blog/inside-vietnamese-threat-actor-lone-none-s-copyright-takedown-spoofing-campaign

Report completeness: Medium

Actors/Campaigns:
Lone_none
Ducktail

Threats:
Pxa_stealer
Purelogs
Xworm_rat
Xenorat
Purehvnc_tool

Geo:
Korean, Chinese, French, German, Vietnamese

TTPs:
Tactics: 1
Technics: 0

IOCs:
Domain: 4
File: 5
Command: 1
Path: 2
Url: 2
Coin: 8
Registry: 1

Soft:
Telegram, Microsoft Office, Dropbox, Windows registry

Wallets:
tron

Crypto:
bitcoin, dogecoin, ethereum, litecoin, primecoin, ripple, tezos, solana

Algorithms:
aes, base64

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группировка Lone None проводит сложные кампании на тему авторских прав, которые используют социальную инженерию для распространения вредоносного ПО, в частности, Lone None Stealer (PXA Stealer), который нацелен на кражу криптовалюты с помощью манипуляций с буфером обмена. Их техническая доставка включает в себя вредоносные ссылки по электронной почте, ведущие к архивным файлам в файлообменных сервисах, содержащим как законные документы, так и замаскированные Вредоносные файлы, включая библиотеку DLL, которая расшифровывает дополнительные полезные нагрузки. Вредоносное ПО заменяет скопированные криптовалютные адреса кошельком злоумышленника и использует Telegram-бота для уведомления, что указывает на стратегическую эволюцию тактики, направленную на максимизацию потенциала кражи.
-----

Хакерская группировка Lone None проводит сложные кампании на тему авторских прав, используя тактику социальной инженерии для обмана юридических фирм и распространения вредоносного ПО, специально нацеленного на пользователей с заявлениями о нарушении авторских прав. Одним из заметных вредоносных ПО, появляющихся в результате этих кампаний, является Lone None Stealer, также известный как PXA Stealer, который предназначен для кражи криптовалюты с помощью манипуляций с буфером обмена. Электронные письма актора часто содержат уведомления об удалении, которые, по-видимому, исходят от законных юридических лиц, но эти заявления сфабрикованы, ссылаются на реальные аккаунты Facebook, принадлежащие целевым получателям, и распространяются по меньшей мере на десяти разных языках.

Технический механизм доставки кампаний Lone None включает встроенные ссылки в электронные письма, ведущие к архивным файлам, размещенным на популярных файлообменных сервисах, таких как Dropbox и MediaFire. Эти архивные файлы содержат смесь законных документов (PDF-файлы и форматы Office) и замаскированных Вредоносных файлов, включая библиотеку DLL, которая функционирует как установщик Python. Эта вредоносная библиотека DLL использует утилиту Windows certutil.exe для расшифровки дальнейшей вредоносной полезной нагрузки, замаскированной несоответствиями расширений файлов, что облегчает конечную доставку и выполнение полезной нагрузки.

В Lone None Stealer есть функциональность, направленная на замену адресов криптовалюты, скопированных в буфер обмена, адресом кошелька злоумышленника, тем самым облегчая кражу средств. Он использует регулярные выражения для идентификации криптовалютных адресов и информирует злоумышленника через Telegram-бота, как только происходит замена. Эта тактика отражает эволюционирующую изощренность поведения вредоносного ПО по мере того, как кампании продолжают развиваться.

Несмотря на технологический прогресс в области доставки и функциональности вредоносного ПО, тактика социальной инженерии, используемая с помощью электронных писем, остается в основном неизменной. Продолжающееся использование подмены юридических фирм и соответствующих личных ссылок, по-видимому, повышает эффективность атак. Зависимость кампании от Telegram для связи командования и контроля (C2) и растущая сложность методов использования вредоносного ПО предполагают постоянную угрозу со стороны этого актора, нацеленного на уклонение от обнаружения и максимизацию потенциала кражи с помощью целенаправленных методов социальной инженерии. Это свидетельствует о резкой эволюции их тактики, потенциально указывающей на стратегический сдвиг в сторону более продвинутых и адаптированных методов распространения вредоносного ПО.

#ParsedReport #CompletenessLow
24-09-2025

Securing LLM Superpowers: The Invisible Backdoors in MCP

https://www.netskope.com/blog/securing-llm-superpowers-the-invisible-backdoors-in-mcp

Report completeness: Low

Victims:
Customer service operations, Security operations, Mcp tool ecosystem

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1195, T1204, T1213, T1565.001, T1566.002

IOCs:
File: 1

Algorithms:
base64

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ландшафт угроз для инструментов командной платформы машинного обучения (MCP) эволюционировал благодаря новым методам атак, таким как косвенное быстрое внедрение и атаки с использованием ковра. Косвенное быстрое внедрение встраивает вредоносные команды в безопасные данные, что приводит к непреднамеренному выполнению агентами MCP, создавая такие риски, как утечка данных. Атаки с использованием "ковриков" предполагают замену надежных инструментов скомпрометированными версиями, что позволяет злоумышленникам манипулировать обновлениями и функциональными возможностями бэкдора без прямого ущерба для базовой модели.
-----

Ландшафт угроз, связанных с инструментами командной платформы машинного обучения (MCP), все чаще документируется с появлением новых направлений атак, таких как косвенное быстрое внедрение и "подтягивание". Косвенное оперативное внедрение представляет собой особенно коварный метод, при котором злоумышленники внедряют вредоносные инструкции в кажущиеся безобидными данные, которые обрабатываются этими инструментами, в отличие от методов прямого оперативного внедрения, при которых злоумышленники непосредственно вводят вредоносные команды в систему. Сложность этой атаки заключается в том, как она использует источники данных, которые обрабатывает Large Language Model (LLM), без прямого взаимодействия с самой моделью.

В типичном сценарии злоумышленник может отправить убедительно составленное электронное письмо в службу поддержки клиентов, внедрив вредоносные инструкции в текст электронного письма, Маскировку под законное сообщение. Когда MCP-агент службы получает это электронное письмо через свое промежуточное программное обеспечение, система невольно выполняет встроенные вредоносные команды. Это может привести к серьезным последствиям, включая утечку данных или несанкционированные действия, как инструменты MCP называют скрытые инструкции, что создает проблемы для мониторинга и обеспечения безопасности.

Для снижения рисков, связанных с непрямым оперативным внедрением, было предложено несколько стратегий защиты. Одной из эффективных мер является удаление несущественного внешнего текста из контекстных окон, которые сохраняются с течением времени. Кроме того, выделение внешних входных данных в буферы с коротким сроком службы может предотвратить задержку потенциально опасной полезной нагрузки при выполнении различных запросов. Применение "контекстного TTL" (time-to-live) также может автоматически аннулировать срок действия любых введенных данных после их немедленного использования, снижая вероятность использования в последующих взаимодействиях.

Кроме того, в отчете освещаются атаки с использованием поддельных данных, при которых надежные инструменты могут быть заменены скомпрометированными версиями путем манипулирования механизмами обновления или реестрами. Этот метод позволяет злоумышленникам скрытно превращать надежные решения в средства для вредоносной деятельности без ущерба для базовой модели. В этом случае даже обычная функция инструмента, такая как сканирование файла на наличие вредоносного ПО, может быть нарушена, если инструмент был обновлен до бэкдорной версии.

Общая проблема, связанная с этими векторами атак, заключается в том, что они позволяют злоумышленникам влиять на поведение LLMS и инструментов MCP, манипулируя входными данными и инфраструктурой, которая их поддерживает, вместо того, чтобы напрямую компрометировать модели. Следовательно, любой источник данных — электронные письма, документы, веб—сайты или сообщения в чате - потенциально может содержать вредоносные инструкции, которые LLM может выполнять без проверки, что делает необходимым совершенствование методов обеспечения безопасности в ответ на эти сложные угрозы.

#ParsedReport #CompletenessHigh
24-09-2025

The Evolution of RomCom

https://www.attackiq.com/wp-content/uploads/2025/09/romcom-report.pdf

Report completeness: High

Actors/Campaigns:
Void_rabisu (motivation: cyber_espionage, financially_motivated)

Threats:
Romcom_rat
Underground_ransomware
Cuba_ransomware
Meltingclaw
Shadyhammock
Spear-phishing_technique
Damascened_peacock
Com_hijacking_technique
Peapod
Snipbot
Credential_harvesting_technique
Emotet
Pid_spoofing_technique
Nltest_tool
Shadow_copies_delete_technique
Hancitor
Proxyshell_vuln
Cobalt_strike_tool
Mimikatz_tool
Netstat_tool
Vmprotect_tool

Victims:
Government, Defense, Humanitarian, Healthcare, Finance, Telecommunications, Technology, Political figures, Military personnel, Nato members, have more...

Industry:
Healthcare, Telco, Government, E-commerce, Military, Financial

Geo:
Russian, United kingdom, Ukrainian, Russia, Russian federation, Hungarian, Montenegro, Poland, Canada, Hungary, Ukraine

TTPs:
Tactics: 5
Technics: 32

IOCs:
File: 13
Registry: 4
Hash: 7
Email: 1

Soft:
Component Object Model, Windows COM, Microsoft Edge, Active Directory, Microsoft Exchange, PsExec, Windows Registry

Algorithms:
salsa20, 3des, zip, rsa-1024

Functions:
Windows, Get-Volume

Win API:
SeDebugPrivilege, IsDebuggerPresent, NtQuerySystemInformation, GetUserDefaultLCID, GetLocaleInfoW, CreateToolhelp32Snapshot, Process32FirstW, Process32NextW, FindFirstFileW, FindNextFileW, have more...

Languages:
powershell, rust, lua

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
RomCom - это сложный троян удаленного доступа и программа-вымогатель, приписываемая российскому злоумышленнику UAT-5647, нацеленный на организации, вовлеченные в конфликт на Украине, и критически важные сектора национальной безопасности. Для закрепления он использует перехват COM-модели объектов (COM) и эволюционировал в нескольких версиях, расширяя свои шпионские возможности и интегрируясь с группами программ-вымогателей для тактики двойного вымогательства. Вредоносное ПО инициирует атаки с помощью spearphishing или поврежденных MSI-файлов, используя такие методы, как Передача инструментов из внешней сети для доставки полезной нагрузки и разведки, а также внедряя надежное шифрование, удаляя shadow copies томов и изменяя конфигурации сервера, чтобы затруднить восстановление.
-----

RomCom - это сложное семейство троянов удаленного доступа (RAT) и программ-вымогателей, которое постоянно развивается с момента своего появления в мае 2022 года. Вредоносное ПО, приписываемое российскому злоумышленнику, известному как UAT-5647 или Storm-0978, имеет историю атак на правительственные учреждения, военный персонал и гуманитарные организации, вовлеченные в конфликт на Украине, а также сектора, критически важные для национальной безопасности, включая оборону и технологии. Ландшафт угроз RomCom подчеркивает его универсальность как в отношении спонсируемого государством шпионажа, так и в отношении киберпреступности, мотивированной финансовыми соображениями.

Управляемый RomCom team, RAT в первую очередь использует перехват объектной COM-модели (COM) для обеспечения закрепления. Этот метод позволяет вредоносному ПО использовать COM-инфраструктуру Windows, перенаправляя законные процессы для выполнения своей полезной нагрузки. RAT претерпел различные модификации — по меньшей мере пять различных версий, каждая из которых повышала его модульность, изощренность и шпионские возможности. Примечательно, что она расширяет свою деятельность за счет интеграции с такими группами вымогателей, как Cuba и Industrial Spy, которые использовали тактику двойного вымогательства.

RomCom был задействован в более широких атаках, таких как "кампания AstraChat", которая включала внедрение вредоносных компонентов в легальные версии программного обеспечения для скрытой компрометации систем. Начальные стадии таких атак часто включают загрузку полезных данных с помощью таких средств, как электронные письма с spearphishing или поврежденные файлы MSI, за которыми следуют действия по разведке, которые собирают системную и сетевую информацию для эксфильтрации данных.

Технические подробности RomCom иллюстрируют его способность продолжать адаптировать свои методы. Например, на этапах своей эксплуатации RomCom использует тактику, методы и процедуры (TTP), такие как Передача инструментов из внешней сети для управления доставкой полезной нагрузки и выполнения команд разведки для сбора важных подробных системных данных. Кроме того, процедуры шифрования вредоносного ПО используют надежные алгоритмы, и оно способно удалять shadow copies томов и изменять конфигурации серверов, чтобы расширить свое воздействие, препятствуя при этом усилиям по восстановлению после атаки.

#ParsedReport #CompletenessMedium
25-09-2025

Botnet Loader-as-a-Service Infrastructure Distributing RondoDoX and Mirai Payloads

https://www.cloudsek.com/blog/botnet-loader-as-a-service-infrastructure-distributing-rondodox-and-mirai-payloads

Report completeness: Medium

Threats:
Rondodox
Mirai
Supply_chain_technique

Victims:
Soho routers, Iot devices, Enterprise applications, Enterprises, Corporate networks, Edge devices

Industry:
Iot

CVEs:
CVE-2019-17574 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2019-16759 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2012-1823 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 5
Technics: 8

IOCs:
File: 3
IP: 13
Hash: 592

Soft:
WebLogic, WordPress, vBulletin, busybox, Linux, curl

Algorithms:
sha256

Functions:
Monitor

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
schema: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ботнет "Загрузчик как услуга" распространяет вредоносное ПО RondoDoX, Mirai и Morte в основном через маршрутизаторы SOHO, устройства интернета вещей и корпоративные приложения, используя слабые учетные данные и устаревшие CVE. Кампания показала рост активности на 230%, используя передовые оперативные тактики, такие как уязвимости для внедрения команд с помощью неубранных параметров сообщений, приведенных в соответствие с методами MITRE ATT&CK T1190 и T1059. Воздействие ботнет включает серьезные сбои в надежности сети, потенциальную эксфильтрацию данных и риски, связанные с уязвимостями supply chain.
-----

Недавнее расследование CloudSEK выявило ботнет "Загрузчик как услуга", который распространял вредоносное ПО RondoDoX, Mirai и Morte в основном через маршрутизаторы SOHO, устройства Интернета вещей и корпоративные приложения. Эта кампания использует различные уязвимости, включая слабые учетные данные, не обработанные входные данные и устаревшие распространенные уязвимости и воздействия (CVE). Примечательно, что наблюдался значительный всплеск активности, причем в период с июля по август 2025 года наблюдался рост на 230%, что указывает на быструю эскалацию усилий по вооружению криптомайнинга, распределенных атак типа "Отказ в обслуживании" (DDoS) и вторжений в корпоративные сети.

Ботнет использует сложную инфраструктуру командования и контроля, демонстрируя передовую оперативную тактику. Злоумышленники используют уязвимости при внедрении команд, в частности, с помощью не обработанных параметров POST в веб-приложениях. Методы, описанные в MITRE ATT&CK framework, в частности T1190 (использование общедоступных приложений) и T1059 (Интерпретатор командной строки и сценариев - sh), используются там, где злоумышленники вводят команды оболочки для выполнения загрузок непосредственно на устройства. Аналитики рекомендуют поискать в журналах веб-серверов и прокси-серверов подозрительные записи, которые могут указывать на такое использование.

Примечательно, что эта кампания использует ранее использовавшиеся CVE, что указывает на тенденцию, когда различные ботнет последовательно атакуют аналогичные уязвимости. Факты указывают на агрессивную кампанию с быстрыми изменениями в инфраструктуре, что усложняет усилия по обнаружению и смягчению последствий. В связи со значительным увеличением числа атак есть все основания ожидать, что злоумышленники расширят сферу своей деятельности в отношении уязвимых устройств в течение следующих шести месяцев.

Операционное воздействие такого ботнет является серьезным, влияя как на отдельные предприятия, так и на надежность сети в целом. Скомпрометированные устройства не только потребляют значительную пропускную способность сети, но и способны участвовать в DDoS-атаках, серьезно нарушая бизнес-операции. Дополнительные риски связаны с потенциальной эксфильтрацией данных и перемещением внутри компании в корпоративных сетях, что может привести к краже интеллектуальной собственности и внедрению Ransomware. Существуют также опасения по поводу уязвимостей supply chain, особенно в результате систематической эксплуатации маршрутизаторов и атак с использованием NTP-серверов, которые могут поставить под угрозу важные по времени операции на предприятиях. В целом, этот меняющийся ландшафт угроз требует повышенной бдительности и упреждающих мер безопасности для противодействия растущей сложности операций ботнет.

#ParsedReport #CompletenessLow
25-09-2025

Massive npm infection: the Shai-Hulud worm and patient zero

https://securelist.com/shai-hulud-worm-infects-500-npm-packages-in-a-supply-chain-attack/117547/

Report completeness: Low

Threats:
Shai-hulud
Supply_chain_technique
Trufflehog_tool

Victims:
Software development, Open source ecosystem, Npm packages, Crowdstrike libraries

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.004, T1059.007, T1105, T1195, T1204.002, T1526, T1552

IOCs:
File: 6
Hash: 2

Soft:
Linux, macOS, Node.js

Algorithms:
base64

Languages:
javascript

Platforms:
apple

Links:
have more...
https://docs.github.com/en/actions/concepts/workflows-and-actions/workflows
https://docs.github.com/en/repositories/creating-and-managing-repositories/duplicating-a-repository
https://github.com/trufflesecurity/trufflehog

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Червь Shai-Hulud нацелен на экосистему npm, распространяясь через зараженные пакеты, которые выполняют вредоносный код при установке. Он извлекает конфиденциальную информацию, используя скомпрометированные токены доступа GitHub, генерирует bash-скрипт для извлечения секретов с помощью таких инструментов, как TruffleHog, и модифицирует package.json для обеспечения саморепликации с помощью вредоносных команд postinstall. Червь оказал воздействие на более чем 500 популярных пакетов, подчеркивая его обширный охват и риски, которые он представляет для разработки программного обеспечения.
-----

Червь Shai-Hulud представляет значительную угрозу в мире разработки программного обеспечения, особенно в отношении npm (Node.js менеджер пакетов) экосистема. Этот червь распространяется через зараженные пакеты npm, выполняя вредоносный код во время процесса установки. Как только пакет скомпрометирован, Shai-Hulud публикует зараженные версии в любых других пакетах, на обновление которых у жертвы есть разрешение, тем самым способствуя быстрому распространению инфекции по многочисленным приложениям.

Вредоносное ПО предназначено для извлечения конфиденциальной информации, используя токены доступа, связанные с текущим пользователем GitHub. При активации он генерирует временный исполняемый скрипт bash, который выполняет извлечение секретов из среды жертвы. Используемый метод предполагает использование TruffleHog, инструмента, который сканирует хранилища на наличие секретов, загружая его последнюю версию, адаптированную к используемой операционной системе.

Ключевой аспект саморепликации Shai-Hulud заключается в модификации зараженного файла package.json. Он добавляет вредоносную команду postinstall, которая выполняет скомпрометированный скрипт, в частности "node bundle.js ". В данном конкретном случае необычная команда предварительной установки, обнаруженная в пакете ngx-bootstrap версии 18.1.4, послужила вектором запуска для распространения червя, позволив ему выполняться до этапа установки, тем самым инициируя процесс заражения.

Масштабы заражения Shai-Hulud вызывают тревогу, поскольку оно затронуло более 500 популярных пакетов, включая некоторые, связанные с CrowdStrike, что указывает на обширный охват и потенциальное воздействие на различные организации и разработчиков, которые полагаются на эти библиотеки в своих проектах. Этот ситуационный контекст подчеркивает настоятельную необходимость в надежных решениях для мониторинга для защиты от подобных атак в supply chain.

Для снижения рисков, связанных с подобными угрозами, крайне важно использовать специализированные инструменты для мониторинга компонентов с открытым исходным кодом и ограничения доступа и разрешений сторонних модулей. Осведомленность и упреждающие меры безопасности необходимы для защиты целостности методов разработки программного обеспечения от возникающих угроз кибербезопасности.

#ParsedReport #CompletenessHigh
25-09-2025

Cavalry Werewolf attacks Russia through trusting relations between states

https://bi.zone/expertise/blog/cavalry-werewolf-atakuet-rossiyu-cherez-doveritelnye-otnosheniya-mezhdu-gosudarstvami/

Report completeness: High

Threats:
Foalshell
Stallionrat
Netstat_tool
Asyncrat
Spear-phishing_technique

Victims:
Government sector

Industry:
Energy, Government

Geo:
Russia, Middle east, Kyrgyzstan, Russian, Tajikistan, Russian federation

TTPs:
Tactics: 7
Technics: 0

IOCs:
Path: 16
File: 15
Command: 1
Registry: 1
IP: 12
Hash: 9

Soft:
Telegram, Outlook

Algorithms:
base64

Functions:
getUpdates

Win API:
VirtualAlloc, ZwResumeThread

Languages:
powershell, c_language, rust, python

#ParsedReport #GeneratedSchema
Generated with GPT-4