#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
RayInitiator - это усовершенствованный многоступенчатый буткит, предназначенный для устройств Cisco ASA 5500-X, работающий на уровне GRUB для поддержания закрепления с помощью перезагрузок и обновлений прошивки. Он инициирует атаки, модифицируя GRUB для перехвата процессов загрузки, а затем развертывая LINE VIPER, сложный загрузчик шелл-кода, который взаимодействует через HTTPS и ICMP при выполнении команд, захвате пакетов и обходе процессов VPN AAA. Оба компонента используют шифрование, ориентированное на конкретную жертву, и меры защиты от криминалистики для повышения скрытности и усложнения обнаружения.
-----

RayInitiator - это сложный многоступенчатый буткит, специально разработанный для компрометации устройств Cisco ASA (Adaptive Security Appliance), в частности серии 5500-X. Это считается значительным достижением по сравнению с предыдущими вредоносными ПО, а именно LINE DANCER и LINE RUNNER. Этот буткит работает на уровне GRUB (Grand Unified Bootloader), что позволяет ему выдерживать перезагрузки системы и обновления прошивки при развертывании LINE VIPER, загрузчика шеллкода в пользовательском режиме с несколькими возможностями.

Атака начинается с того, что RayInitiator изменяет GRUB скомпрометированного устройства для перехвата процессов загрузки. Это включает в себя две критические фазы: начальную фазу выполнения, где он перехватывает выполнение загрузки; и последующую фазу развертывания, где он загружает LINE VIPER через запрос WebVPN. LINE VIPER принимает команды и задачи в основном по двум каналам: через HTTPS во время сеансов аутентификации клиента WebVPN и через ICMP, где ответы облегчаются с помощью необработанного TCP, что повышает его скрытность и оперативную безопасность. Примечательно, что выполнение задач шифруется с помощью RSA-ключей, специфичных для конкретной жертвы, что защищает целостность и конфиденциальность данных.

После развертывания LINE VIPER обладает широкими возможностями, включая выполнение команд CLI, захват пакетов таких протоколов, как RADIUS, LDAP и TACACS, и обход процесса аутентификации, авторизации и учета VPN (AAA) на устройстве. Он также может подавлять сообщения системного журнала и собирать команды CLI, введенные пользователями. Другой примечательной функцией LINE VIPER является его способность инициировать принудительную отложенную перезагрузку, если она не прервана, что еще больше усложняет усилия по обнаружению.

Как RayInitiator, так и LINE VIPER используют токены, специфичные для жертвы, и шифрование, обеспечивая высокую степень операционной безопасности во время своих действий. LINE VIPER построен на основе многочисленных разделов шеллкода x64, что повышает его сложность и функциональность по сравнению с его предшественниками. Тактика борьбы с криминалистикой используется для того, чтобы помешать судебно-медицинским расследованиям, модифицируя системный код, чтобы скрыть присутствие вредоносного ПО.

Архитектура управления, используемая LINE VIPER, является сложной, при этом стратегическая маршрутизация коммуникаций позволяет сохранять малозаметность. Примечательно, что ICMP-коммуникации не проходят через глобальные сети, а вместо этого используют установленные сеансы VPN, что еще больше маскирует их активность.

Таким образом, эволюция от LINE DANCER и LINE RUNNER к RayInitiator и LINE VIPER знаменует собой заметный прогресс в таргетинге на устройства Cisco ASA, характеризующийся улучшенными методами работы и более широким спектром функциональных возможностей, адаптированных для скрытности и закрепления от обнаружения.

#ParsedReport #CompletenessLow
26-09-2025

FBI warns of threat actors spoofing the FBI crime complaint website

https://moonlock.com/fbi-spoofing-crime-complaint-website

Report completeness: Low

Threats:
Spear-phishing_technique

Industry:
Government

IOCs:
Domain: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ФБР выпустило предупреждение относительно злоумышленников, подделывающих веб-сайт Центра рассмотрения жалоб на интернет-преступления (IC3), чтобы обманом заставить пользователей предоставлять конфиденциальную информацию. Этот поддельный сайт не содержит вредоносных скриптов и работает как платформа для фишинга, которая использует социальную инженерию, а не вредоносное ПО. Она получила известность в Поисковых системах, что облегчает ничего не подозревающим лицам, ищущим законные ресурсы для отчетности о преступлениях, стать жертвой этой аферы.
-----

19 сентября ФБР объявило тревогу по поводу того, что злоумышленники подделывают веб-сайт Центра рассмотрения жалоб на интернет-преступления (IC3), который предназначен для частных лиц, сообщающих о преступлениях в ФБР. Этот инцидент является частью повторяющейся тенденции, когда злоумышленники создают поддельные сайты, выдающие себя за законные правительственные ресурсы. Поддельные сайты IC3 эффективно вводят жертв в заблуждение, привлекая их под предлогом содействия сообщению о преступлениях.

Примечательно, что поддельный веб-сайт IC3, по-видимому, не содержит никаких вредоносных скриптов или вредоносных файлов cookie, что позволяет предположить, что он в первую очередь функционирует как платформа для фишинга, а не как сайт распространения вредоносного ПО. Такой выбор дизайна позволяет злоумышленникам отдавать предпочтение тактике социальной инженерии, а не технической эксплуатации. Сайту удалось добиться высокой видимости в Поисковых системах, в частности, заняв первое место по определенным ключевым словам, что, вероятно, способствовало привлечению ничего не подозревающих пользователей, которые искали подлинный ресурс ФБР по сообщениям о преступлениях.

Хотя особенности методов сбора данных на поддельном сайте не рассматриваются, наличие таких поддельных платформ подчеркивает сохраняющиеся риски, связанные с онлайн-мошенничеством, и необходимость того, чтобы пользователи проверяли подлинность веб-сайтов, прежде чем взаимодействовать с ними.

#ParsedReport #CompletenessLow
28-09-2025

September 2025 Update on Aggressive Ongoing Akira Ransomware Campaign

https://arcticwolf.com/resources/blog-uk/september-2025-update-on-aggressive-ongoing-akira-ransomware-campaign/

Report completeness: Low

Threats:
Akira_ransomware
Impacket_tool

Victims:
Organizations using sonicwall ssl vpn, Active directory users

Geo:
Usa

CVEs:
CVE-2023-20269 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2020-3259 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-40766 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021, T1078, T1110, T1133, T1190, T1486, T1556

IOCs:
IP: 43

Soft:
Active Directory, SonicOS, AnyConnect, Linux

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
С конца июля 2025 года Akira ransomware активизировала свою атаку на учетные записи SonicWall SSL VPN, используя уязвимости для несанкционированного доступа и компрометации данных, особенно связанные с CVE-2024-40766. Первоначальный доступ часто осуществляется при входе в систему через хостинг-провайдеров Виртуального выделенного сервера, что отличается от типичных логинов, связанных с бизнесом, что приводит к необходимости блокировать VPN-доступ с вредоносных IP-адресов. Хотя обновления прошивки SonicWall имеют решающее значение, сохраняющаяся угроза подчеркивает важность защиты учетных данных и необходимость усиленного мониторинга с помощью таких инструментов, как Sysmon и Arctic Wolf Agent, для обнаружения несанкционированного доступа и потенциального выкупа.
-----

С конца июля 2025 года наблюдается заметный всплеск активности, связанной с Akira ransomware, характеризующейся целенаправленным использованием учетных записей SonicWall SSL VPN. Эта эскалация указывает на стратегическую направленность на использование уязвимостей в этих учетных записях для облегчения несанкционированного доступа и потенциальной компрометации данных.

Организациям, использующим устройства SonicWall, следует срочно сбросить все учетные данные, которые могли храниться на их брандмауэрах, особенно если они работали на версиях прошивки, чувствительных к CVE-2024-40766. Эта рекомендация распространяется как на Локальные учетные записи, так и на те, которые связаны с синхронизированным по LDAP Active Directory, особенно в тех случаях, когда эти учетные данные предоставляют доступ к SSL VPN. Закрепление факта кражи учетных данных указывает на возможное нарушение, которое могло произойти до внедрения исправлений, подчеркивая настоятельную необходимость для организаций защищать свои системы даже после обновления.

Вектор первоначального доступа для этой кампании программ-вымогателей, по-видимому, связан с логинами, полученными от хостинг-провайдеров Виртуального выделенного сервера (VPS). Это значительное отклонение от типичных VPN-входов, связанных с бизнесом, которые обычно поступают из установленных широкополосных или защищенных служб SD-WAN. Таким образом, предприятиям рекомендуется блокировать VPN-доступ с известных вредоносных IP-адресов и конкретных номеров автономных систем (ASN), привязанных к поставщикам VPS, связанным с этой кампанией, чтобы снизить риски.

Несмотря на то, что в последней прошивке SonicWall были зафиксированы несанкционированные действия, организациям по-прежнему крайне важно внедрять обновления для SonicOS 7.3.0 и придерживаться текущих рекомендаций SonicWall. Поддержание систем в актуальном состоянии считается фундаментальной практикой для усиления защиты от возникающих киберугроз.

Кроме того, настоятельно рекомендуется использовать Arctic Wolf Agent совместно с Sysmon для улучшения видимости между конечными точками и сетями. Эта комбинация может сыграть важную роль в обнаружении перемещения внутри компании, несанкционированного получения учетных данных и этапов подготовки программ-вымогателей, тем самым позволяя организациям эффективно реагировать на угрозы до их эскалации. Обеспечение работоспособности таких инструментов на всех контроллерах домена, файловых серверах и системах, подключенных к Интернету, имеет жизненно важное значение в нынешней ситуации с угрозами, характеризующейся растущей распространенностью Akira ransomware.

#ParsedReport #CompletenessMedium
26-09-2025

XWorm RAT Delivered via Shellcode: Multi-Stage Attack Analysis

https://www.forcepoint.com/blog/x-labs/xworm-rat-shellcode-multi-stage-analysis

Report completeness: Medium

Threats:
Xworm_rat
Steganography_technique
Dll_injection_technique
Process_injection_technique

ChatGPT TTPs:
do not use without manual check
T1027, T1055, T1105, T1106, T1204.002, T1566.001, T1620

IOCs:
File: 8
Url: 3
IP: 2
Domain: 1
Hash: 6

Algorithms:
zip

Functions:
CreateEncryptor

Win API:
GetProcAddress, ExpandEnvironmentStringsW, LoadLibraryW

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2, dump: 2, code: 4, table: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Многоэтапная атака с участием XWorm RAT демонстрирует передовые методы злоумышленников, начиная с фишингов электронного письма, которое приводит к вредоносному офисному документу, маскирующемуся под счет-фактуру. Процесс заражения использует скомпилированные .NET двоичные файлы и включает в себя отражающее DLL INJECTION для запуска вредоносного ПО в памяти, подключаясь к серверу управления по IP 158.94.209.180 для извлечения конфиденциальных данных. Анализ освещает эволюционирующую тактику киберпреступников, делая упор на использование социальной инженерии и изощренных методов исполнения.
-----

Недавний анализ многоэтапной атаки с участием XWorm RAT выявляет сложные методы, используемые злоумышленниками для доставки этого вредоносного ПО с использованием шелл-кода и методов выполнения в памяти. Атака, как правило, начинается с фишинг-сообщения электронной почты, содержащего вредоносный документ Office (с расширением .xlam), замаскированный под законный счет-фактуру. Когда пользователь открывает этот документ, он изначально кажется пустым или поврежденным, скрывая вредоносную полезную нагрузку во встроенном файле oleObject1.bin.

После извлечения и проверки становится очевидным, что исполняемый файл первого этапа назван "UXO.exe , " первоначально называвшийся "KQuT.exe ." Ключевым моментом в анализе является сосредоточение внимания на .NET-скомпилированных двоичных файлах, особенно на классах и методах, связанных с рисованием, поскольку многие варианты .NET- вредоносного ПО используют эти функции для загрузки ресурсов и инициирования следующий этап атаки в памяти.

Второй этап включает в себя создание DLL-файла с именем "CreativeAI.dll ,"который использует отражающую DLL injection для запуска другой библиотеки DLL с именем "DriverFixPro.dll - в памяти. Эта библиотека DLL устанавливается сама по себе в процессе UXO.exe . Анализ этой последней библиотеки DLL выявляет строки, содержащие имя "UD_XWormClient 6.5", указывающее на его связь с семейством вредоносных ПО XWorm.

После успешного внедрения и выполнения в памяти вредоносное ПО пытается подключиться к серверу управления (C2), расположенному по IP-адресу 158.94.209.180. Дальнейшее расследование показывает, что этот IP-адрес связан с доменом "berlin101.com:6000", распознанным как сервер C2 для операций XWorm. Это подключение позволяет вредоносному ПО извлекать конфиденциальные данные из скомпрометированной системы.

Таким образом, многоэтапная атака XWorm RAT демонстрирует эволюционирующие методы киберпреступников, использующих комбинацию социальной инженерии, встроенного шелл-кода и сложных методов DLL injection для достижения своих целей. Анализ подчеркивает важность надежных мер безопасности электронной почты для блокирования таких угроз на начальном этапе, а также постоянного мониторинга инфраструктур C2, связанных с известным вредоносным ПО.

#ParsedReport #CompletenessHigh
25-09-2025

From Custom Scripts to Commodity RATs: A Threat Actors Evolution to PureRAT

https://www.huntress.com/blog/purerat-threat-actor-evolution

Report completeness: High

Actors/Campaigns:
Lone_none
Purecoder

Threats:
Purerat
Dll_sideloading_technique
Pxa_stealer
Process_hollowing_technique
Dotnet_reactor_tool
Mitm_technique
Hvnc_tool
Purecryptor
Blueloader
Pureminer
Purelogs
Pure_clipper
Spear-phishing_technique

Geo:
Vietnamese, Vietnam

TTPs:
Tactics: 7
Technics: 14

IOCs:
File: 13
Path: 7
Command: 2
Domain: 2
IP: 1
Hash: 3
Registry: 1
Url: 3

Soft:
Windows Update Service, Telegram, Chrome, Event Tracing for Windows, NET Reactor, Outlook, Steam

Algorithms:
base64, gzip, rc4, aes-256, xor, sha256, md5, zip, aes

Functions:
exec, getEntryPoint, GetType, GetMethod, PlaySubscriber, RemoveSelector, DecideFlexibleController

Win API:
AmsiScanBuffer, EtwEventWrite, Decompress, GetLastInputInfo

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 22, table: 1, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследование кампании по фишингу выявило злоумышленника, использующего пользовательские инструменты на Python и обычное вредоносное ПО, в первую очередь, использующего удаленный доступ к PureRAT Trojan. Цепочка атак начинается с электронного письма с фишингом, содержащего вредоносный ZIP-файл, который выполняет DLL sideloading для внедрения вредоносного ПО. Эволюция методов включает переход от скриптов-похитителей на Python к исполняемым файлам .NET, использующим запутывание для уклонения, демонстрирующим сложный подход к краже информации и связывающий актора как с обычным вредоносным ПО, так и с инфраструктурой командования и контроля во Вьетнаме.
-----

Продолжающееся расследование кампании фишинга выявило эволюцию злоумышленника, использующего комбинацию пользовательских инструментов Python и обычного вредоносного ПО, кульминацией которого стало внедрение PureRAT, коммерчески доступного Trojan. Атака начинается с электронного письма с фишингом, содержащего ZIP-файл, Маскировку под уведомление о нарушении авторских прав, который включает в себя законный исполняемый файл PDF reader наряду с вредоносным version.dll . Этот подход использует метод DLL sideloading, который заставляет доверенный исполняемый файл загружать вредоносную DLL-библиотеку, тем самым внедряя вредоносное ПО в систему жертвы.

Исходная полезная нагрузка - это программа для кражи информации на основе Python, которая извлекается по ссылке и анализируется, чтобы выявить ее способность извлекать конфиденциальные данные. Это включает в себя учетные данные для входа в систему, файлы cookie, информацию о кредитной карте и данные автозаполнения из популярных браузеров, таких как Chrome и Firefox. Это указывает на продвинутую стратегию таргетинга актора, направленную на сбор информации, которую можно монетизировать или использовать для дальнейшей эксплуатации.

Затем кампания переходит от использования интерполированных скриптов на Python к скомпилированным .СЕТЕВЫЕ исполняемые файлы, предполагающие адаптацию для повышения изощренности и тактики уклонения. Конечная полезная нагрузка, названная Mhgljosy.dll , использует .NET Reactor, коммерческий инструмент запутывания, который усложняет работу по обратному проектированию. Это указывает на осведомленность о методах защитного анализа и преднамеренные усилия по ограничению возможностей следователя.

Дальнейший анализ .Сетевые пространства имен, связанные с этой полезной нагрузкой, содержат упоминания о PureHVNC, что убедительно указывает на ссылку на PureRAT, ранее проданный актором, использующим псевдоним "PureCoder". Эта связь подчеркивает растущее использование товарного вредоносного ПО в операциях по борьбе с сложными целенаправленными угрозами и подчеркивает тенденцию к использованию коммерчески доступных инструментов для вредоносных целей.

Доказательства указывают на причастность злоумышленника, связанного с инфраструктурой Telegram и метаданными, связанными с пользователем @LoneNone, а также с серверами командования и контроля, прослеженными до Вьетнама. Это действие демонстрирует явный переход от любительской тактики запутывания к изощренному использованию коммерческого вредоносного ПО, демонстрируя развитие возможностей злоумышленника. Их набор навыков включает в себя ряд методов, включая обработку байт-кода на Python, перечисление WMI, Внедрение в пустой процесс .NET и отражающую загрузку библиотеки DLL, что в конечном итоге указывает на постоянный и эволюционирующий ландшафт угроз.

#ParsedReport #CompletenessHigh
28-09-2025

SVG Phishing hits Ukraine with Amatera Stealer, PureMiner

https://www.fortinet.com/blog/threat-research/svg-phishing-hits-ukraine-with-amatera-stealer-pureminer

Report completeness: High

Actors/Campaigns:
Purecoder

Threats:
Amatera_stealer
Pureminer
Countloader
Process_hollowing_technique
Dll_sideloading_technique
Process_injection_technique
Process_hacker_tool
Anydesk_tool

Victims:
Ukrainian government entities

Industry:
Government

Geo:
Ukraine, Ukrainian

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 14
Path: 3
Registry: 1
Domain: 25
IP: 1
Hash: 13

Soft:
NET Framework, Process Explorer, Firefox, Waterfox, Pale Moon, IceDragon, Cliqz, Cyberfox, BlackHawk, IceCat, have more...

Wallets:
math_wallet, coin98, metamask, coinbase, ronin_wallet, tronlink, keplr, bitcoincore, dashcore, litecoincore, have more...

Crypto:
binance

Algorithms:
base64, rc4, zip, 3des, sha256

Functions:
getUpdates

Win API:
CryptUnprotectData

Languages:
python

Links:
https://github.com/naksyn/PythonMemoryModule

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2, code: 9

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания фишинга, нацеленная на Украину, использует вредоносные SVG-файлы для развертывания вредоносного ПО Amatera Stealer и PureMiner с помощью атаки без файлов. Все начинается с электронных писем от имени Национальной полиции Украины, в которых используются срочные формулировки, побуждающие получателей открыть вложенные файлы. Первоначальный доступ осуществляется через CountLoader, который подключается к удаленному серверу для сбора системных данных, в то время как вредоносное ПО собирает конфиденциальную информацию из ключевых приложений, таких как Steam и Telegram, используя DLL Sideloading и выполнение в памяти, чтобы избежать обнаружения.
-----

Недавняя кампания по фишингу, нацеленная на Украину, использует вредоносные SVG-файлы для доставки вредоносного ПО Amatera Stealer и PureMiner через цепочку атак без файлов. Кампания начинается с электронных писем, Маскировка которых выдается за официальные сообщения Национальной полиции Украины, призывающие получателей открыть вложение, в котором утверждается, что оно относится к юридическому уведомлению. В электронных письмах используются формальные формулировки, чтобы создать ощущение срочности, побуждая жертв ознакомиться с содержанием.

Первоначальный доступ облегчается с помощью скрипта, известного как CountLoader, который подключается к удаленному серверу для получения дальнейших инструкций. После установления этого соединения вредоносное ПО собирает системную информацию и передает ее обратно злоумышленникам с помощью HTTP POST-запроса, закодированного с помощью XorBase64. Этот загрузчик также отвечает за отправку специально закодированного сообщения для получения дополнительных команд от сервера управления (C2).

После начальной полезной нагрузки создается ZIP-файл с именем ergosystem.zip загружается, содержащий исполняемый файл вместе с несколькими библиотеками динамической компоновки (DLL). В процессе выполнения используется DLL sideloading, использующая доверенное приложение для загрузки вредоносной библиотеки DLL. Полезная нагрузка разработана в .NET с использованием предварительной компиляции (AOT) для повышения эффективности выполнения.

Еще один ZIP-архив, smtpB.zip , содержит интерпретатор Python, необходимые модули и вредоносный скрипт на Python, предназначенный для выполнения в памяти. Этот скрипт позволяет избежать записи вредоносного ПО на диск, используя для операций загрузки проект PythonMemoryModule, размещенный на GitHub.

После разработки Amatera Stealer устанавливает мьютекс с жестко закодированными значениями и подключается к удаленному серверу для получения сведений о конфигурации, имеющих решающее значение для его функций сбора данных. Файл конфигурации подвергается декодированию в формате Base64 с последующей расшифровкой с использованием алгоритма RC4 перед обработкой для сбора данных.

Вредоносное ПО систематически извлекает различные типы системных данных и данных приложений. Он специально нацелен на файлы, относящиеся к приложениям на базе Gecko, с помощью конфигурации, которая определяет пути и каталоги. Аналогично, для приложений на базе Chromium параметры конфигурации определяют, какие браузеры и связанные с ними приложения следует тщательно проверять, а также охватывают расширения браузера и каталоги для сбора дополнительных данных.

Более того, Amatera Stealer оснащен предопределенными процедурами для извлечения данных из известных приложений, таких как Steam и Telegram. Что касается управления криптовалютными кошельками, вредоносное ПО может выполнять рекурсивный поиск файлов, если установлен определенный флаг, или создавать прямые пути к файлам на основе определенных целевых путей.

Эта кампания является примером инновационного использования SVG-файлов как средства инициирования цепочки заражения вредоносным ПО, в частности, путем сосредоточения внимания на украинских государственных структурах, использующих обманчивые электронные письма для распространения вложений в формате SVG, которые приводят к вредоносным загрузкам.

#ParsedReport #CompletenessMedium
26-09-2025

Potentially Unwanted Applications (PUAs) weaponized for covert delivery

https://fieldeffect.com/blog/potentially-unwanted-applications

Report completeness: Medium

Threats:
Tamperedchef
Imagelooker
Residential_proxy_technique
Credential_harvesting_technique
Seo_poisoning_technique

Victims:
Software users, Consumers

Industry:
E-commerce

CVEs:
CVE-2025-0411 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1553.002

IOCs:
File: 4
Domain: 3
Hash: 9

Soft:
Microsoft Defender, NeutralinoJS

Algorithms:
md5, exhibit, sha1, sha256

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4