#technique

Tangled

Tangled is a phishing platform designed from an offensive security perspective.
It automates many of the aspects of social engineering campaigns delivery and weaponizes iCalendar rendering features in Microsoft Outlook & Gmail (Google Workspace) to deliver spoofed meeting invites that are automatically added to a user's calendar without interaction.

https://github.com/ineesdv/Tangled

#ParsedReport #CompletenessHigh
19-01-2026

Operation Covert Access: Weaponized LNK-Based Spear-Phishing Targeting Argentinas Judicial Sector to Deploy a Covert RAT

https://www.seqrite.com/blog/operation-covert-access-weaponized-lnk-based-spear-phishing-targeting-argentinas-judicial-sector-to-deploy-a-covert-rat/

Report completeness: High

Actors/Campaigns:
Covert_accesss

Threats:
Covertrat
Spear-phishing_technique
Cobalt_strike_tool
Credential_harvesting_technique
Credential_dumping_technique

Victims:
Judicial sector

Industry:
Government, Healthcare

Geo:
Spanish, Argentina, America, Burma

TTPs:
Tactics: 12
Technics: 48

IOCs:
Path: 12
File: 24
Registry: 7
IP: 1
Hash: 5

Soft:
Microsoft Edge, Windows registry, VirtualBox, Hyper-V, qemu, task scheduler

Algorithms:
exhibit, xor, zip, base64

Functions:
exit

Win API:
IsDebuggerPresent, QueryPerformanceFrequency

Win Services:
WebClient

Languages:
powershell, rust

Platforms:
x86, x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Operation Covert Access нацелена на судебный сектор Аргентины, используя методы Целевого фишинга и "оружейные" файлы ярлыков Windows (.LNK) в качестве переносчика инфекции. Тот самый .Файлы LNK запускают вредоносный пакетный файл, который развертывает скрытый троян удаленного доступа (RAT), предоставляя злоумышленникам постоянный доступ к скомпрометированным системам. Эта RAT облегчает эксфильтрацию данных и наблюдение за ними с помощью скрытных операций и тактики уклонения, что отражает глубокое понимание уязвимостей судебной системы.
-----

Operation Covert Access включает в себя сложную кампанию Целевого фишинга, направленную конкретно на судебный сектор Аргентины. В качестве исходного вектора заражения в атаке используются защищенные файлы ярлыков Windows (.LNK), демонстрирующие нацеленный подход к компрометации чувствительных правительственных учреждений.

На первом этапе инфекционной цепочки происходит .Файлы LNK служат приманкой для запуска вредоносного пакетного файла после его открытия. Этот метод умело маскирует злой умысел под видом законного запроса или документа, повышая вероятность успешного обмана. Пакетный файл выполняет ряд действий, которые облегчают развертывание скрытого троянца удаленного доступа (RAT), тем самым позволяя злоумышленникам получать постоянный доступ к зараженным системам.

Анализ covert RAT раскрывает ее возможности и поведение. После развертывания это вредоносное ПО может обеспечить несанкционированный контроль над зараженным компьютером, что может привести к потенциальной эксфильтрации данных и слежке за конфиденциальными сообщениями в рамках судебной системы. Конструкция RAT позволяет ему действовать скрытно и избегать обнаружения с помощью различных методов запутывания.

Кампания отражает четкое понимание операционной среды и уязвимостей, существующих в судебном секторе, подчеркивая необходимость принятия надежных мер по кибербезопасности. Были выявлены индикаторы компрометации (IOCs), связанные с этой операцией, которые предоставляют ключевую разведывательную информацию для принятия защитных мер. Кроме того, тактика, используемая в этой атаке, коррелирует со специфическими техниками из платформы MITRE ATT&CK, иллюстрируя процедурный метод, используемый злоумышленниками.

#ParsedReport #CompletenessLow
19-01-2026

How threat actors are using self-hosted GitHub Actions runners as backdoors

https://www.sysdig.com/blog/how-threat-actors-are-using-self-hosted-github-actions-runners-as-backdoors

Report completeness: Low

Threats:
Shai-hulud

Victims:
Software development, Open source focused companies

Industry:
Software_development

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1105, T1195

IOCs:
File: 10

Soft:
curl, linux, systemd

Functions:
setTimeout

Links:
https://resources.github.com/actions/2026-pricing-changes-for-github-actions/
https://docs.github.com/en/actions/how-tos/manage-runners/self-hosted-runners/configure-the-application
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Автономные пользователи GitHub Actions runner все чаще становятся нацелены на кибератаки из-за их доступа к внутренним ресурсам и способности запускать произвольный код. Бэкдор Shai-Hulud компрометирует компьютеры разработчиков с помощью троянских пакетов NPM, создавая общедоступный репозиторий GitHub для управления. Используя API-интерфейсы GitHub, он регистрирует runner для поддержания постоянного доступа, манипулируя идентификатором RUNNER_TRACKING_ID, чтобы избежать процессов очистки, тем самым позволяя злоумышленникам удаленно выполнять команды через обсуждения в репозитории.
-----

Автономные программы для запуска действий на GitHub стали важной мишенью для киберугроз из-за присущего им доступа к внутренним сетям, сохраненным учетным данным и способности выполнять произвольный код. Простота регистрации еще больше повышает их привлекательность для злоумышленников, облегчая внедрение вредоносных операций в конвейерах CI/CD. Примером этой уязвимости стал бэкдор Shai-Hulud, изощренная атака, которая компрометирует компьютеры разработчиков с помощью троянских пакетов NPM, в конечном итоге развертывая сторонние программы GitHub runners в качестве постоянных точек доступа.

Атака Shai-Hulud разворачивается в четыре этапа. На первом этапе вредоносное ПО создает общедоступный репозиторий GitHub после обнаружения действительного токена GitHub с требуемыми разрешениями. В репозитории, названном случайной строкой, но содержащем фиксированный маркер в описании, включена функция обсуждений, которая служит каналом командования и контроля (C2) для злоумышленников.

На втором этапе вредоносное ПО использует API GitHub для получения регистрационного токена runner. Этот токен позволяет устанавливать и выполнять официальный двоичный файл GitHub Actions runner, который незаметно устанавливается в скрытый каталог на скомпрометированном компьютере, идентифицируемый уникальным именем SHA1HULUD. Это третья стадия атаки.

Четвертый этап демонстрирует стойкость бэкдор бэкдор закрепление, манипулировать через переменную RUNNER_TRACKING_ID. Установив эту переменную в 0, вредоносное ПО гарантирует, что породил процессы выжить после завершения рабочего процесса, в обход обычных процедур очистки и преобразования резидентной бегунов в эффективные ходы. Данный механизм позволяет злоумышленнику удаленно выполнять команды, просто размещая комментарии в обсуждениях публичном репозитории.

Кроме того, атака выявляет более широкие риски, связанные с тем, как рабочие процессы обрабатывают ненадежный ввод, предполагая, что любое событие, допускающее ненадежное взаимодействие с пользователем, может быть использовано для создания экземпляра бэкдора. Несмотря на свою хрупкость из-за зависимости от активного жизненного цикла выполняемого процесса, бэкдор может оставаться работоспособным до перезагрузки хост-компьютера.

Индикаторы компрометации для такой активности бэкдора включают использование переменной RUNNER_TRACKING_ID=0, которая не имеет никакой законной функции, кроме как уклоняться от очистки системы. Кампания Shai-Hulud подчеркивает важность признания самостоятельных бегунов в качестве критической зоны атаки. Их конструкция для выполнения непроверенного кода, поддержания подключений к GitHub и часто работы с повышенными разрешениями создает значительные риски для безопасности, позволяя злоумышленникам проводить операции, которые органично вписываются в законную деятельность системы.

#ParsedReport #CompletenessHigh
19-01-2026

SHADOW#REACTOR - Text-Only Staging, .NET Reactor, and In-Memory Remcos RAT Deployment

https://www.securonix.com/blog/shadowreactor-text-only-staging-net-reactor-and-in-memory-remcos-rat-deployment/

Report completeness: High

Actors/Campaigns:
Shadow_reactor (motivation: financially_motivated)

Threats:
Dotnet_reactor_tool
Remcos_rat
Lolbin_technique
Procmon_tool
Lolbas_technique

Industry:
Entertainment

TTPs:
Tactics: 5
Technics: 10

IOCs:
File: 18
Path: 3
IP: 2
Registry: 1
Hash: 6
Url: 3

Soft:
NET Reactor, VirtualBox, Windows Powershell

Algorithms:
xor, base64, sha256

Functions:
Ruseysn, ReverseString, Decode

Win Services:
WebClient

Languages:
visual_basic, powershell

Platforms:
x64, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания SHADOW#REACTOR использует сложное многоэтапное развертывание вредоносного ПО с использованием запутанного скрипта Visual Basic, который загружает загрузчик PowerShell. Этот загрузчик извлекает и обрабатывает закодированные полезные данные с удаленного сервера, создавая дополнительный скрипт, предназначенный для выполнения сборки .NET, скрытой с помощью методов расшифровки строк XOR. Последняя полезная нагрузка, троян удаленного доступа Remcos, работает с использованием законных инструментов, таких как MSBuild.exe чтобы избежать обнаружения при сохранении закрепления с помощью самозапускающихся скриптов и благоприятных соглашений об именовании.
-----

Кампания SHADOW#REACTOR представляет собой продвинутый многоэтапный процесс развертывания вредоносного ПО, который объединяет различные методы для эффективного проникновения, выполнения и закрепления на скомпрометированных системах. Начальный этап инициируется запутанным скриптом Visual Basic (VBS), выполняемым с помощью `wscript.exe `, который служит в качестве облегченного загрузчика, устанавливая мост к загрузчику PowerShell. Этот загрузчик извлекает фрагментированные полезные данные, закодированные в виде обычного текста, с удаленного сервера, используя устойчивый цикл загрузки для обеспечения целостности данных перед дальнейшей обработкой.

Сценарий PowerShell, получив доступ к текстовой полезной нагрузке, создает дополнительный сценарий для последующего выполнения. Он нормализует закодированные данные, заменяет специальные символы и создает временный промежуточный файл в системном каталоге "%TEMP%`. Архитектура PowerShell stager важна, поскольку она динамически собирает сценарий, который обрабатывает следующие этапы атаки, используя системные вызовы через "System.Net.WebClient" для взаимодействия с инфраструктурой, контролируемой злоумышленником.

Как только этап PowerShell извлекает проверку и обработку данных полезной нагрузки, он переходит к выполнению сборки .NET, которая была защищена с помощью .NET Reactor, который использует расшифровку строки XOR для скрытия конфиденциальных параметров. Этот аспект загрузчика сводит к минимуму его видимость для инструментов статического анализа и вводит различные уровни запутывания, такие как удаление запутывания путей к файлам и выполнение антианалитических проверок в известных виртуализированных средах.

Атака обеспечивает дальнейшее уклонение, используя законные инструменты Microsoft, такие как MSBuild.exe на поздней стадии выполнения. Этот метод классифицируется как использование двоичного кода Living-off-the-Land (LOLBin), который позволяет конечной полезной нагрузке, идентифицированной как троян удаленного доступа Remcos (RAT), работать под видом доверенного приложения. Remcos RAT после развертывания обеспечивает всесторонний контроль над скомпрометированной системой, позволяя злоумышленникам выполнять различные вредоносные действия.

Постоянные механизмы включают повторяющиеся самозапускающиеся скрипты из временных папок в сочетании с удобными соглашениями об именовании исполняемых файлов, которые органично вписываются в обычные системные операции. Вся архитектура кампании SHADOW#REACTOR демонстрирует изощренное использование легального программного обеспечения и четкое понимание методов обхода защиты, что делает обнаружение довольно сложным.

#ParsedReport #CompletenessMedium
19-01-2026

Proxyware being distributed under the guise of Notepad++ tool.

https://asec.ahnlab.com/ko/92163/

Report completeness: Medium

Actors/Campaigns:
Larva-25012

Threats:
Proxyjacking_technique
Digitalpulse
Autoclicker_tool
Dploader
Dll_sideloading_technique

Victims:
General consumers

Geo:
Korea

ChatGPT TTPs:
do not use without manual check
T1036.005, T1053.005, T1059.001, T1059.006, T1059.007, T1102, T1140, T1218.011, T1562.001, T1574.002, have more...

IOCs:
File: 12
Path: 2
Coin: 1
Hash: 5
Url: 5
Domain: 4

Soft:
SteamCleaner, Task Scheduler, dot net, WIndows Defender

Algorithms:
md5

Languages:
powershell, javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атаки Proxyjacking, приписываемые злоумышленнику Larva-25012, связаны с распространением прокси-программ, таких как DigitalPulse и Infatica, с помощью вредоносного ПО, замаскированного под Notepad++. Вредоносное ПО использует различные методы обхода, включая Внедрение кода в процесс в проводник Windows и использование разработанных на C++ установщиков "Setup.msi", которые встраивают вредоносные библиотеки DLL, зарегистрированные в планировщике задач. Кроме того, актор использует загрузчики, такие как "TextShaping.dll ," и DPLoader, который отключает меры безопасности и выполняет загруженные полезные файлы через Rundll32.
-----

Аналитический центр безопасности AhnLab (ASEC) сообщил о продолжающихся атаках Proxyjacking, связанных с злоумышленником, известным как Larva-25012. Эта группа в основном распространяет прокси-программы, в том числе DigitalPulse, Honeygain и Infatica, путем Маскировки своего вредоносного ПО под законный инструмент Notepad++. Злоумышленник использует разнообразные приемы уклонения от обнаружения, такие как инъекции proxyware в Проводнике процесс и используя Python для командования и управления (C&C) о сообщениях.

Методы распределения часто связаны с рекламой на веб-сайтах, рекламирующих бесплатные загрузки видео с YouTube и нелегального программного обеспечения, в том числе трещины и кейгенов. Самое вредоносное ПО поставляется в различных формах, в частности путем "установки.КГУ" инсталлятор написан на С++, которая внедряет вредоносные программы в виде динамически подключаемой библиотеки (вредоносное ПО). Это особенно вредоносное ПО регистрирует себя с помощью планировщика задач с надписью "обновление" Блокнота "планировщик" и выполнен с использованием процесса rundll32.exe .

Другой метод включает в себя "Setup.zip " архив, содержащий законную версию Notepad++ вместе с загрузчиком вредоносного ПО, идентифицированным как "TextShaping.dll ." После выполнения "Setup.exe , " загрузчик использует методы DLL side-loading для запуска вредоносного ПО. Этот вариант содержит зашифрованный шеллкод, который расшифровывается и запускается во время выполнения, в конечном счете выполняя дроппер в памяти.

Дополнительная информация свидетельствует о том, что злоумышленник использует как обфусцированный JavaScript и Python версии загрузчика называется DPLoader. JavaScript как вариант напрямую связывается с C&C-сервер, в то время как Python версия использует упрощенные методы для отправки команд и данных скачать.

Действие DPLoader's включает в себя регистрацию задач, связанных с установкой прокси-программ. Например, установка Infatica Proxyware включает в себя создание таких задач, как "MicrosoftAntiMalwareTool.exe ," который отключает защитник Windows, среди прочих функций. Аналогично, для установки DigitalPulse DPLoader создает задачу под названием "SyncTaskUpdatescheduler", ответственную за выполнение загруженного "syncupdates.dll " через Rundll32, демонстрирующий прямую связь с вредоносным ПО Notepad++.

В заключение статьи пользователям рекомендуется проявлять осторожность при загрузке исполняемых файлов из неофициальных источников, а также рекомендуется установить защитное программное обеспечение, такое как продукты версии 3, для защиты от потенциальных заражений.

#ParsedReport #CompletenessLow
19-01-2026

From Extension to Infection: An In-Depth Analysis of the Evelyn Stealer Campaign Targeting Software Developers

https://www.trendmicro.com/en_us/research/26/a/analysis-of-the-evelyn-stealer-campaign.html

Report completeness: Low

Threats:
Evelyn_stealer
Dll_injection_technique
Process_hollowing_technique
Process_injection_technique
Trojan.win32.downloader.cm
Trojan.win64.malinjector.a
Trojan.win64.badbrowser.a

Victims:
Software developers, Organizations with software development teams

Industry:
Software_development

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1055.012, T1059.001, T1105, T1106, T1195, T1497, T1574.002

IOCs:
File: 6
Hash: 4

Soft:
Visual Studio Code, Hyper-V, VirtualBox, QEMU, Linux

Algorithms:
zip, aes-256-cbc, aes, sha256

Win API:
CreateProcessA

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 1, code: 14

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Evelyn Stealer нацелена на разработчиков программного обеспечения через экосистему расширений кода Visual Studio, используя многоступенчатую атаку для развертывания вредоносного ПО, похищающего информацию. Первоначально замаскированный под законную библиотеку Lightshot DLL, он использует Внедрение в пустой процесс для ввода конечной полезной нагрузки в процесс Windows, используя шифрование AES-256-CBC для сокрытия. Вредоносное ПО использует передовые методы уклонения для обхода мер безопасности, что отражает изощренный подход к использованию надежных сред разработки.
-----

Кампания Evelyn Stealer - это изощренная киберугроза, которая специально нацелена на разработчиков программного обеспечения, используя экосистему расширений Visual Studio Code (VSC). Злоумышленники используют многоступенчатый подход к установке вредоносного ПО для кражи информации, которое разработано для извлечения конфиденциальных данных, таких как учетные данные разработчика и информация о криптовалюте. Это создает риск не только для отдельных сред разработчиков, но и для более широких организационных систем, которые полагаются на VSC и сторонние расширения, а также на доступ к облачным ресурсам и производственным системам.

Начальная точка входа этой атаки через загрузчик, замаскированный под легитимный компонент Lightshot файлов. Как только это вредоносное расширение ВСК установлен, оно вызывается аутентичные Lightshot.exe. Самое вредоносное ПО выполняется тогда, когда DLL загружается, имитирующих законные функции, чтобы избежать обнаружения. Впоследствии он запускает скрытые PowerShell PowerShell, чтобы загрузить второго этапа грузоподъемностью, который был сохранен в "runtime.exe" в локальный каталог Temp.

Компонент второго этапа - это инжектор Внедрения в пустой процесс, который расшифровывает и вводит конечную полезную нагрузку, известную как Evelyn Stealer, в законный процесс Windows".grpconv.exe ". При расшифровке используется шифрование AES-256-CBC, гарантирующее, что полезная нагрузка остается скрытой до выполнения.

После запуска Evelyn Stealer динамически разрешает необходимые API Windows для своих операций, включая Внедрение кода в процесс, манипулирование файлами, доступ к реестру и сетевое взаимодействие. Он включает в себя множество методов уклонения, предназначенных для обмана решений безопасности, автоматизированных инструментов анализа и изолированных сред. Эти меры обхода включают методы обнаружения виртуальных машин, отладчиков и специальные проверки для сред анализа, таких как сеансы Протокола удаленного рабочего стола (RDP) и Hyper-V, что отражает тщательный уровень операционной безопасности.

Кампания иллюстрирует растущую тенденцию использования доверенных сообществ разработчиков в качестве важных целей в сфере разработки программного обеспечения. Внедряясь в экосистему расширений VSC и используя передовые тактики, такие как шифрование и многоуровневые механизмы антианализа, операция Evelyn Stealer демонстрирует высокий уровень сложности и намерение избежать обнаружения, используя при этом присущее разработчикам доверие к своим инструментам.

#ParsedReport #CompletenessHigh
19-01-2026

Hunting Lazarus: Inside the Contagious Interview C2 Infrastructure

https://redasgard.com/blog/hunting-lazarus-contagious-interview-c2-infrastructure

Report completeness: High

Actors/Campaigns:
Contagious_interview
Lazarus
Blocknovas

Threats:
Winrm_tool
Tsunami_botnet
Xmrig_miner
Dead_drop_technique
Beavertail
Tsunami_framework
Supply_chain_technique

Victims:
Software development, Cryptocurrency users, Blockchain sector

Industry:
Education, Financial

Geo:
Australia, North korean, Dprk, Ukrainian, Japan

TTPs:
Tactics: 3
Technics: 16

IOCs:
File: 7
IP: 7
Coin: 1
Hash: 1

Soft:
VSCode, Node.js, Chrome

Wallets:
metamask, exodus_wallet

Crypto:
monero

Algorithms:
xor, base64, sha256

Functions:
getCookie

Win API:
decompress

Languages:
powershell, javascript, python

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследование северокорейской Вредоносной Кампании, получившей название "Contagious Interview", выявило атаку, инициированную с помощью вредоносной конфигурации VSCode в проекте Upwork, позволяющей выполнять код при доступе к проекту. В угрозе использовалась многоуровневая инфраструктура управления, с основными и резервными серверами, обеспечивающими расширенную защиту от обфускации и модульную доставку полезной нагрузки. Примечательно, что вредоносное ПО включало в себя сложный бэкдор, интегрированный с майнером криптовалюты XMRig, использующий различные тактики уклонения, разделение учетных данных и вводящие в заблуждение конечные точки, что характеризует его как сложную и постоянную угрозу.
-----

Расследование выявило северокорейское вредоносное ПО из кампании "Contagious Interview", использующее механизм автоматического выполнения VSCode с помощью вредоносного файла ".vscode/tasks.json". Многоуровневая инфраструктура управления включала в себя основной сервер по адресу 147.124.213.232 и несколько резервных серверов, способных обслуживать модульные полезные нагрузки через конечные точки с аутентификацией по токенам с высокой степенью запутывания. Аналитики обнаружили бэкдор с использованием майнера криптовалюты XMRig, замаскированного под msedge.exe , указывающие цели кражи учетных данных и Несанкционированного использования ресурсов. Вредоносное ПО идентифицировано как бэкдор Tsunami на базе Python, известный своими механизмами закрепления и стратегиями монетизации. Наблюдения выявили автоматизированные меры безопасности, включая растяжки и ограничение скорости, что привело к отключению служб C2 во время проверки. Злоумышленники использовали более 37 800 комбинаций учетных данных в своих усилиях по разделению и включали нефункциональные конечные точки, чтобы ввести в заблуждение исследователей безопасности. Жестко закодированные учетные данные MongoDB позволяли получить доступ к важным данным из скомпрометированной базы данных. Данные с высокой степенью достоверности связывают кампанию с северокорейскими акторами, а тактика соответствует предыдущим действиям. Рекомендуется специальное отслеживание IP-адресов C2 и характерных портов, таких как 1244 и 1249, для дальнейшего обнаружения и смягчения последствий. Вредоносное ПО соответствует различным методам в рамках MITRE ATT&CK, подчеркивая необходимость постоянной бдительности.

#ParsedReport #CompletenessHigh
19-01-2026

Operation Nomad Leopard: Targeted Spear-Phishing Campaign Against Government Entities in Afghanistan

https://www.seqrite.com/blog/operation-nomad-leopard-targeted-spear-phishing-campaign-against-government-entities-in-afghanistan/

Report completeness: High

Actors/Campaigns:
Nomad_leopard

Threats:
Spear-phishing_technique
Falsecub
Motw_bypass_technique

Victims:
Government entities, Ministries, Administrative offices

Industry:
Government

Geo:
Emirates, Pakistan, Afghanistan, Afghan

TTPs:
Tactics: 8
Technics: 16

IOCs:
File: 10
IP: 2
Domain: 1
Hash: 4
Url: 2

Soft:
curl

Algorithms:
sha256, base64

Functions:
GetUserNameWand

Win API:
GetTickCount64, GlobalMemoryStatusEx, IsDebuggerPresent, GetComputerNameW, GetDriveTypeW, CreateProcessW, closesocket